방송실(동보장치)에 시건장치 해놓은 고창 B마을 회관. 자료사진| ▶ 글 싣는 순서 |
①비리로 얼룩진 마을방송…'패밀리 업체' 허위세금계산서 발행 논란
②비리로 얼룩진 마을방송…충북 진천서도 허위세금계산서 의혹
③비리로 얼룩진 마을방송… '판박이' 금품 로비입찰
④비리로 얼룩진 마을방송…계속된 말 바뀌기 위증 논란 비화
⑤불법발신번호 변작…KT '행정처분' 업체는 '이상 無', 왜?
⑥[단독]"양보해라" 업체끼리 입찰 거래…비리로 얼룩진 마을방송
⑦[단독]논란 속 마을방송 '보안프로토콜'…"보안 아닌 방해수단" 협력업체 폭로
⑧마을방송 연동시험에서 드러난 '모순'…"보안형프로토콜, 사기성 짙어"
⑨마을방송, 불법 무선송수신 '백도어' 심겨져 논란
⑩'보안'강조하더니…'중대 보안 위반' 의혹 휩싸인 마을방송
(계속)
|
마을 방송 구축사업자는 정보시스템 내 개인 신상정보나 비공개 정보의 외부 유출을 포함해
개발 또는 유지보수 과정에서 원격작업도 보안 차원에서 금지된다.
그런데 마을 방송 구축 사업자가 '보안위규 처리 기준'의 중대 위반 사항에 해당하는 원격유지보수 기능을 작동시키는 것으로 의심되는 정황이 드러났다.
전화번호 난수 인증해제 작업…현장 가보니 "다녀간 정황 없어"
전북 고창에서 마을방송시스템을 구축한 O업체 측이 담당 공무원에게 '마을방송 ARS 인증해제 설정 작업을 마쳤다'는 내용의 메일(2022년 6월 29일)을 발송했다.
고창지역 18개 마을 동보장치의 '전화번호난수보안인증' 설정을 2022년 6월 23일 해제했다는 것이 골자다.
앞서 고창군 담당 공무원이 관내 500여 마을방송 동보장치 가운데 지난 2020년 이후 설치한 18개 마을 동보장치가 전라북도 재난예경보통합시스템과 연계되지 않는다며 강력히 항의한 데 따른 것이다.
당시 담당 A공무원은 "전라북도에서도 문제점을 지적하고 행정안전부에서도 얘기를 하니까 빨리 연계해달라"라면서 "기존의 것은 되고 이후(2020년 이후)것은 안되는 이유가 뭐냐"며 "우리도 모르는 것을 왜 이렇게 하시냐, 문제가 있는 것 아니냐"고 항의했다.
고창 마을회관 내 설치된 O업체 동보장치. 자료사진그런데 이후 문제가 해소되는 과정에서 보안 위반과 관련된 또 다른 문제가 불거졌다.
A공무원은 CBS노컷뉴스와의 인터뷰에서 "업체 측으로부터 연계가 됐다는 연락만 (사후에)받았지 현장에 나가서 확인 적이 없다"고 말했다.
또, CBS노컷뉴스가 해당 고창 B 마을을 방문해 확인한 결과 마을 회관 내 동보장치가 설치된 장소에 업체 측에서 다녀간 정황이 없는 것으로 확인됐다.
마을 이장 C씨는 "동보장치가 있는 장소는 아무나 출입할 수 없도록 자물쇠로 시건 장치를 해놓아 자신이 문을 열어주지 않으면 출입할 수 없다"고 강조했다.
추가로 고창지역 다른 마을을 대상으로 취재한 결과 비슷한 답이 돌아왔다.
해당 마을 이장 D씨는 "혹시 자신이 출타 중일 때 사전 연락 없이 다녀갔으면 몰라도 업체 측에서 동보장치 때문에 연락하고 찾아온 적은 없다"고 말했다.
취재를 종합하면 고창마을 방송 시스템 구축업체가 현장 방문없이 원격으로 유지보수 작업을 시행했다는 추론이 가능한 데 보안인증을 해제하는 과정에서 어떻게 서버 접근 승인 없이 작업이 이뤄졌는지도 의문이다.
이에 대해 O업체 측은 CBS노컷뉴스와의 서면 인터뷰를 통해 고창 18개 마을 동보장치 수리와 관련해 '전화방송난수보안인증방식'을 CID(발신번호표시)방식으로 해제 처리했다고 밝혔다.
특히 현장 방문 작업 여부에 대한 질문에는 "현장 장비의 펌웨어 및 설정 변경은 현장 조치를 원칙으로 한다"면서도 현장 방문 여부에 대한 답을 명확히 하지 않았다.
'서버접근 승인절차 없이 보안인증 원격 해제?'… 또 다른 '백도어' 의혹
행정기관 정보시스템 접근권한 관리 규정(국무총리 훈령) 제11조 1항에서는 "권한관리책임자는 원칙적으로 유지보수 업체 또는 외주 용역 업체의 직원이 정보시스템 또는 행정정보에 임의로 접근하지 못하도록 해야 한다"고 명시했다.
또 2항에서는 "유지보수 업체 또는 외주용역업체의 직원이 운영상 불가피한 사유로 정보시스템 또는 행정정보에 접근을 필요로 할 때는 그 직원에게 보안서약서를 받고 접근을 승인해야 한다"고 명시했다.
아울러 4항을 보면 "권한관리책임자는 유지보수 업체 또는 외주 용역업체의 직원에 대한 정보시스템 또는 행정정보 접근 승인 내역 및 사유 등을 기록하고 관리해야 한다"고 밝혔다.
일선 자치단체가 마을방송시스템 구축 운영 과정에서 적용하는 '사업자 보안 위규 처리 기준'도 존재한다.
관련 기준에 따르면 개발유지 보수 시 '원격작업'은 전산정보 보호대책 규정상 '중대 위반사항'으로 계약금액의 5%를 위약금으로 부과하게 돼 있다.
고창지역 마을방송 전화번호난수인증방식이 서버접근에 따른 관련 승인 절차 없이 원격으로 해제됐다면 이는 '행정기관 정보시스템 접근권한 관리규정' 위반일 뿐 아니라 '사업자 보안위규 처리기준'에도 어긋난다.
보안프로토콜이라는 암호인증방식을 승인없이 전라북도재난예경보 통합시스템에 삽입해 논란의 중심에 서 있는 O업체. 업체는 그 사유를 보안 강화 차원이라고 내세우고 있지만 정작 보안에 위배되는 원격유지보수의 정황이 드러났다.
특히 원격으로 이뤄진 것으로 보이는 '전화방송난수보안인증방식' 설정·해제 기능은 업체가 임의로 만들어 놓은 또 다른 '백도어'가 아니냐는 의혹마저 낳고 있다.
정보통신망법 제48조 4항에 따르면 누구든지 정당한 사유없이 정보통신망의 정상적인 보호·인증절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신망 또는 이와 관련된 정보시스템에 설치하거나 이를 전달·유포해서는 안된다.
연합뉴스