"대한민국은 북한이 있어서 이런 방식을 보안용이라 하는 건가요?"
지난 1월 CBS노컷뉴스가 일본 도쿄에서 만난 사카시타 테쓰야 일본정보통신진흥협회(JIPDEC) 상무이사는 전북도 재난예경보 시스템을 두고 "보안 기능이 거의 없다"며 "북한 때문이라면 이해는 되지만 실효성이 있는지는 의문이다"고 밝혔다.
전북도 재난예경보 시스템을 두고 도의 감사와 경찰 수사에서 "보안용 기능이다"라는 주장을 일관되게 이어온 업체 측의 주장과 상충한다. 국내 전문가는 경쟁 업체의 시장 진입을 막기 위한 기술장벽이라고도 언급해 논란이 이어질 전망이다.
전북도-순창군 시스템 '연결 안됨'…원인은 '거꾸로' 인증하는 코드?
앞서 지난 2019년 전북도 재난예경보 시스템을 순창군의 마을방송 체계와 연계하는 과정에서 시스템 간 연결이 되지 않는 '호환성 문제'가 발생했다.이를 두고 행정소송과 도의 감사가 이어지는 과정에서 전북도 시스템에 사용된 '변이코드'를 두고 실효성 문제가 제기됐다.
통상적인 시스템 간 인증방식은 도에서 재난 정보를 보낼 경우 시군의 시스템이 도 시스템을 인증해 정보를 송출하는데, 전북도의 경우 도 시스템이 세 자리 코드를 보내면 시군 시스템이 '거꾸로' 대응 코드를 입력하는 방식이라 신속성을 요하는 재난예경보 시스템의 취지와 어긋난다는 지적이었다.
또한 이러한 인증방식을 두고 도의 시스템을 설계한 특정 업체가 다른 업체의 시장 진입을 막기 위해 기술 장벽을 세웠다는 의혹이 제기되기도 했다. 이러한 의혹 제기에 시스템을 구축한 업체 측은 "보안을 위한 코드다"라는 입장을 거듭 밝혀왔다.
日방재위원 "지자체가 의심했어야" 韓 전문가 "기술장벽에 불과"
일본 JIPDEC의 상무이사이자 일본정부 방재위원으로 활동하는 사카시타 상무이사는 "해당 코드를 시스템에 넣을 경우 전문가 집단의 검토를 거쳤어야 했다"며 "일방적인 설치 업체 측의 요구였다면 의심했어야 한다"고 지적했다.그러면서 "전북도에서 하위 지자체로 정보가 내려가는 방식인데 상위 시스템이 하위시스템을 검증할 필요가 있나"며 "도에서 정보를 보낼 때 식별 코드만 딸려 보내면 하위 시스템이 인증하는 방식으로 하는 게 옳은 것 같다"는 취지로 답했다.
사카시타 이사의 이러한 지적은 국내 전문가의 의견과도 일치한다. 백유진 우석대학교 정보보안학과 교수는 "세 자리 패턴을 이용하는 전북도 시스템의 방식은 해독 장치를 사용하면 금방 뚫리는 취약한 구조다"며 "보안의 실효성이 거의 없다고 봐야 한다"고 말했다.
그러면서 "해당 코드는 보안용이라기보다는 이미 시장경쟁력을 확보한 업체가 경쟁 업체의 시장 진입을 막기 위해 만든 기술장벽에 불과해 보인다"며 "시스템 입찰을 한 지자체에서 사전에 검토하고 걸렀어야 했다"고 밝혔다.
사카시타 이사는 전북도 재난예경보 시스템의 운영 서버가 정부가 아닌 민간 데이터센터의 서버 내에 있던 점을 지적하기도 했다.
그는 "재난예경보는 나라에서 국민에게 보내는 정보이기에 신뢰성이 확보돼야 하는데 시스템을 운용하는 서버가 민간에 있다면 외부인이 침투하지 않는다는 것을 어떻게 담보할 수 있냐"며 "J-ALERT와 L-ALERT 등 일본의 재난예경보 서버는 중앙정부와 각 지자체 청사 안에 철통 보안에 둘러싸여 있다"고 전북도와 일본을 비교하기도 했다.