김민재 중앙재난안전대책본부 1차장(행안부 차관)이 29일 정부세종청사 민원동 공용브리핑실에서 국가정보자원관리원 행정정보시스템 화재 관련 중대본 브리핑을 하고 있다. 연합뉴스| ▶ 글 싣는 순서 |
①'손바닥 기지국'의 공포…KT, 수차례 '경고' 무시했다
②정부 뚫렸을 땐 쉬쉬…기업만 처벌하다 화재까지
③'보안' 외양간만 고친다…"자진신고 활성화해야"
|
올해 SK텔레콤 대규모 유심 해킹에 이어 KT와 LG유플러스에서도 해킹 의혹이 제기되자, 정부는 징벌적 과징금 카드를 꺼내 드는 등 즉각 제재에 나섰다.
그러나 이동통신사 해킹은 빙산의 일각이다. 최근 공개된 해외 해킹 관련 보고서에 따르면, 통신사뿐만 아니라 정부 주요 부처도 중국 측 해커에 의해 줄줄이 뚫린 것으로 나타났다. 이중에는 민감한 정부 업무 시스템 관련 자료까지 넘어간 것으로 파악됐다.
최근 해킹이 국가 간 '사이버전쟁' 성격을 띤다는 점을 고려하면, 정부 부처 대상 해킹은 국가 안보와도 직결돼 있다. 그러나 정작 정부는 해킹 사태의 책임을 지지 않고 사태를 축소·은폐하기에 급급해, 기업만 이중잣대로 처벌하는 게 아니냐는 지적이 나온다.
통신사 '줄해킹'에…정부 "징벌적 과징금 도입해야" 방망이
지난 19일 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑에서 과학기술정보통신부 류제명 제2차관이 질문에 답하고 있다. 연합뉴스정부는 최근 연달아 발생한 이동통신사 해킹 사태에 대해 엄중히 처벌하겠다는 기조로 기업들과 각을 세워왔다. 이재명 대통령은 지난 18일 대통령실 수석보좌관회의에서 KT 무단 소액결제 사건을 콕 집어 "사건 축소, 은폐 의혹도 제기되고 있는데 분명히 밝혀서 책임을 명확히 물어야 한다"고 경고하기도 했다.
이 대통령의 발언 이후 개인정보위원회는 개인 정보 유출과 관련해 최고경영자(CEO)의 책임을 강화하는 내용의 대책을 내놨다. 기업에서 해킹이 발생해 개인정보 유출 사고가 나면 CEO가 처벌을 받도록 법을 개정하겠다는 것이다. 앞서 개인정보위는 SKT 유심 해킹 사태와 관련해 지난달 역대 최대 과징금인 1347억 9100만원을 부과하기도 했는데, 이는 기존의 최대 과징금이었던 구글 692억원, 메타 308억원을 훌쩍 뛰어넘는 수준이다.
해킹 피해 기업에 대해 징벌적 과징금을 도입하겠다는 움직임도 일었다. 과학기술정보통신부 류제명 제2차관은 24일 국회 과학기술정보방송통신위원회 청문회에서 "IT 보안의 실패가 치명적인 결과들을 계속해서 낳을 수 있다는 우려를 감안해 징벌적 과징금도 검토해 볼 단계라고 생각한다"고 언급했다.
국회도 발 빠르게 제재에 나섰다. 현행 정보통신망법에 따르면, 사업자가 자진 신고를 하지 않을 경우 정부는 현장 정밀조사를 실시할 수 없다. 이에 법을 개정해 정부가 해킹 의혹이 있는 기업에 대해 사전신고 전 즉각 조사할 수 있도록 권한을 확대하겠다는 취지다.
그러나 정부도 줄줄이 '해킹'…데이터 관리 부실해 화재까지
29일 오전 대전 유성구 국가정보자원관리원 화재 현장에서 경찰 관계자들이 불이 붙었던 무정전·전원 장치(UPS)용 리튬이온배터리를 옮기고 있다. 연합뉴스그러나 기업에 칼을 대는 정부도 본인들은 속수무책이라는 것이 더 큰 문제다. 통신사 대상 해킹은 빙산의 일각에 불과하고, 정부 주요 부처도 마찬가지로 줄줄이 뚫려 국가의 주요 정보가 유출되고 있다.
지난달 해외 보안 매체 '프랙(Phrack)'은 북한의 해킹 조직 '김수키'가 KT와 LG유플러스를 비롯해
국방부, 외교부, 국군방첩사령부, 대검찰청, 행정안전부, 통일부, 해양수산부 등 정부 부처를 지속적으로 해킹해 왔다고 공개했다.
해당 보고서에 따르면, 행안부는 정부 내부 업무 네트워크 시스템인 '온나라 시스템'이 공격당해 행정전자서명(GPKI) 인증서가 유출됐다. 외교부는 이메일 플랫폼의 소스코드(설계도)가 해킹됐으며, 플랫폼의 사본 파일도 공개됐다. 통일부·해양수산부의 업무관리시스템 소스코드도 유출됐다. 방첩사에 대한 '스피어 피싱' 공격 흔적은 최근 6월 초까지 이어졌고, 대검찰청도 피싱을 시도한 기록이 남았다.
사법 기록은 물론 등기부등본 등 국민의 민감한 정보를 다루는 법원도 허술하긴 마찬가지다. 2021년부터 2023년까지는 북한 해커 조직인 '라자루스'가 법원 전산망을 장기간 해킹한 사실이 CBS노컷뉴스 취재 결과 밝혀져 심각한 파장을 일으키기도 했다.
고려대학교 김승주 정보보호대학원 교수는 과기정통부 청문회에서 "(통일부·해수부 직원) 계정이 두 개만 털린 것인지, 백도어가 더 있는지 등 피해 범위조차 파악이 안 되고 있다. 공인인증서 소스코드, 내부 메일 서버 소스코드까지 유출된 정황이 있다"며 "이 모든 문제가 한 명의 해커 PC에서 발견됐다. 보통 팀을 짜서 움직이는 것을 감안하면 실제 피해 규모는 훨씬 클 수 있다"고 우려했다.
우리나라의 원자력, 핵융합, 보안기술 등 국가 핵심 기술을 다루는 정부 기관도 수천 건의 해킹 공격에 노출된 것으로 나타났다. 더불어민주당 이정헌 의원실이 과학기술사이버안전센터로부터 제출받은 자료에 따르면, 국가과학기술연구회(NST) 소속 정부출연연구기관 23곳은 2016년부터 지난달까지 총 2776건의 해킹 시도를 받은 것으로 나타났다.
과기정통부 산하 우정사업본부는 집중적인 사이버 공격을 받고 있는 것으로 나타났다. 과방위 소속 국민의힘 김장겸 의원실이 과기정통부로부터 제출받은 자료에 따르면, 2020년부터 올해 8월까지 우정사업본부와 산하 기관에서 탐지된 사이버 침해 시도는 총 5만 2656건에 달했다. 이는 과기정통부와 소속, 산하기관 64곳 전체의 시도(5만 6076건)의 93.9%에 해당한다. 우정사업본부에 금융과 물류 기반의 민감한 개인정보를 보유하고 있어 집중적인 표적이 된 것으로 보인다.
우정사업본부는 사이버 위협에 더해 최근 대전 국가정보자원관리원(국정자원) 전산실 화재로 인터넷 우체국과 금융 서비스까지 마비돼 큰 국민 불편을 초래하기도 했다. 국정자원 1개 층에서 발생한 화재로 정부의 수백 개 전산 시스템이 먹통이 된 것이다. 정부가 사이버 위협에 치명적으로 노출된 데 더해, 물리적인 데이터 관리 및 복구 체계에도 큰 허점이 있다는 점을 방증한 셈이다.
그럼에도 과기정통부 정보보호 예산을 올해 감소해 경각심이 떨어졌다는 지적이 나온다. 과기정통부의 내년도 편성 예산 중 정보보호 부문이 차지하는 비중은 1.48%로 지난해보다 오히려 0.07%p 감소했다.
정부, 이중잣대로 기업만 때리나…"정보보호 TF 꾸려야"
이억원 금융위원장(오른쪽)과 류제명 과기정통부 제2차관이 22일 정부서울청사에서 열린 통신사 및 금융사 해킹사고 관련 긴급 현안 점검회의에서 대화를 하고 있다. 연합뉴스
결국
스스로도 해킹을 당한 정부가 기업 제재에만 몰두하는 것은 이중잣대라는 지적이 나온다.전문가들은 기업에서 유출된 개인 정보보다 정부의 정보 유출이 심각할 수 있다고 경고한다.
고려대학교 임종인 정보보호대학원 석좌교수는 CBS노컷뉴스와의 통화에서 "최근 정부 부처를 겨냥한 해킹은 일종의 사이버전쟁과 같은 국면이다. 극단적인 예지만 국내 첨단 무기 시스템이 해킹됐다고 하면 개인정보 유출 이상의 큰 위험이 발생할 수도 있다는 것"이라며
"어느 한쪽이 잘못했다고 책임만 묻기보다는 보안 강화를 위해서는 정부와 기업이 합심해서 역량 제고를 노력하는 게 바람직하다"고 지적했다.
정보보호를 위한 정부의 컨트롤타워를 세워야 한다는 지적도 제기된다.
김승주 교수는 청문회에서 "총체적 난국을 헤쳐나가려면 정부부처 간 사이버보안 업무에 대한 정보교류와 협력체계가 유기적으로 이뤄져야 하는데, 제대로 작동되는지 의문"이라며 "국가 정보보호 TF 긴급 구성이 필요하다"고 강조했다.