정보통신시설, 유지보수직원엔 ‘뻥’

■ 행안부 153곳 실태 조사

올 4월 발생한 농협 전산망 마비 사건의 공격 명령 발원지는 전산망 유지·보수업체 직원의 노트북컴퓨터였다. 북한이 이미 지난해 9월 농협 서버를 관리하는 노트북을 악성코드에 감염시켜 ‘좀비 PC’를 만든 뒤 이를 통해 침투했다는 게 검찰의 수사 결과다. 지난달 실체가 드러난 국가보안법 위반 전력자의 합동참모본부 정보 유출 의혹 사건에서도 피의자는 정부기관의 전산 프로그램을 개발 관리하는 회사의 직원이었다.

국내 주요 전산망이 모두 용역업체 직원에 의해 뚫린 셈이다. 이에 행정안전부는 농협 전산망 마비 사건 이후 153개 주요 정보통신기반시설에 대한 긴급 점검을 실시했다. 그 결과 핵심 전산망들이 유지·보수업체 직원들에겐 ‘뻥’ 뚫려 있는 것으로 조사됐다.

○ 정보통신기반시설 77% 외부 용역

국회 문화체육관광방송통신위원회 소속 김을동 의원이 7일 행안부에서 입수한 조사 결과 자료에 따르면 기관 자체적으로 전산망 유지·보수를 담당하는 정보통신기반시설은 각 발전소와 온세텔레콤 등 35개에 불과했다.

나머지 71개는 외주 용역업체가 유지·보수를 전담하고 있었고, 외교통상부와 지하철 등 47개는 기관 자체와 용역업체가 업무를 분담하고 있었다. 즉 118개(77%)의 주요 정보통신기반시설 전산망은 용역업체 직원이 들여다보는 상황이었다.

외부 용역업체 직원들은 대부분 노트북과 휴대용저장장치(USB)를 사용해 시설 전산망을 관리한다. 이들이 감염된 노트북이나 USB로 전산망에 접속해 문제를 일으키거나 고의적으로 정보를 빼돌릴 수 있는 가능성이 언제든지 있다. 그럼에도 행안부 조사 결과 각 기관은 이들의 노트북과 USB를 단순히 ‘눈으로’ 감시하는 수준인 것으로 드러났다.

외부 노트북이 악성코드에 감염됐는지, 기관의 주요 정보를 빼내 가는지 특정 소프트웨어로 감시하는 기술적 통제 방법을 사용하는 시설은 18%에 불과했다. 나머지 82%는 내부 직원이 따라붙어 용역업체 직원의 작업을 지켜보거나 노트북 반입을 통제하는 수준이었다.

USB에 대한 감시도 마찬가지다. 시설의 컴퓨터에 있는 USB 포트를 막아버리거나(35%), 외부 USB의 반입을 금지하는 방법(43%) 등의 통제 방법을 사용하고 있었다. 감시 소프트웨어를 사용하는 방법은 예산이 많이 들기 때문이다.

○ “정부통합전산센터 내부 IP 유출”

이런 어설픈 감시 때문에 발생한 피해는 심각했다.

행안부 자료에 따르면 국보법 위반 전력자의 합참 정보 유출 의혹 사건에서 새나간 자료엔 정부통합전산센터의 내부 인터넷주소(IP) 10개와 정부 전산망의 설계도에 해당하는 ‘시스템 제안요청서’가 포함된 것으로 새롭게 드러났다. 김 의원은 “내부 IP와 시스템 제안요청서를 북한으로 넘겼다면 북한이 정부 전산망 시스템 구성을 알게 된다는 게 전문가들의 분석”이라며 “이를 통한 제2, 제3의 사이버 공격이 우려된다”고 말했다.

정보통신기반시설이란 안보 행정 국방 치안 금융 통신 운송 등 국가와 국민에게 큰 영향을 미치는 핵심시설의 전산망을 특별히 보호하기 위해 정보통신기반보호법에 따라 지정한 곳이다. 정부는 이를 2008년 109개를 지정했다가 2011년 현재 153개로 늘렸다.

여기에는 사고가 터진 농협을 비롯해 은행별 인터넷뱅킹 시스템 등 17개 금융기관이 포함돼 있고 한국전력공사, 한국가스공사, 우정사업본부, 코레일, 통신시설 등이 망라돼 있다.

최우열 기자 dnsp@donga.com