[시사뉴스 홍경의 기자] 국가정보자원관리원(국정자원) 화재에 따른 정부 전산망 장애가 3주 넘게 이어지고 있는 가운데, 공무원 업무 시스템인 ‘온나라시스템’ 등이 외부 해킹된 사실이 뒤늦게 확인되면서 정부의 행정망 관리체계가 또다시 논란의 중심에 섰다.
행안부는 지난 17일 “올해 7월 중순께 누군가 외부 인터넷 PC에서 정부원격접속시스템(G-VPN)을 통해 공무원 업무망인 온나라시스템에 접근한 정황을 국가정보원이 확인했다”고 밝혔다.
지난 8월 미국의 보안 전문 매체인 ‘프랙’은 행안부가 관리하는 온나라시스템 등 한국 정부의 행정망이 해킹을 당했다고 보도했는데, 의혹 제기 두 달 만에 관련 사실을 인정한 것이다.
온나라시스템 접속 로그와 공무원들이 인증을 위해 사용하는 행정전자서명(GPKI) 인증서 파일, 이를 이용하는 기관 시스템에 적용하기 위한 프로그램 인터페이스(API) 소스코드 등이 해킹됐다는 내용이 ‘프랙’ 보고서에 담겨 있다.
이에 정부는 지난 22일 1,600여 개 IT 시스템을 대상으로 전면 보안점검에 착수하며, 해킹 사고 예방과 국민 신뢰 회복을 위한 강도 높은 보안 대책을 시행한다고 발표했다.
정부 기관뿐 아니라 통신사와 카드사 등 전방위적으로 해킹 사고가 잇따르고 있어 내린 조치이다. 정부는 기존 체크리스트 중심의 보안인증제도를 현장 심사 중심으로 전환하고, 중대 결함이 발견될 경우 인증을 즉시 취소하는 등 강도 높은 보안 강화 대책을 발표했다.
전면 보안 점검의 주요 내용은 ▲대상은 정부 기관, 통신사, 카드사 등 공공·금융·통신 분야의 1600여 개 IT 시스템 ▲점검 방식은 화이트해커를 활용한 상시 취약점 점검, 실제 해킹 방식의 불시 점검, 주요 IT 자산의 식별·관리체계 강화 ▲보안인증제도 개편으로는 기존 체크리스트 중심에서 현장 심사 중심으로 전환, 중대 결함 발생 시 인증 즉시 취소 ▲정보보호 공시 의무 확대로는 상장사 전체로 정보보호 공시 의무 대상 확대 ▲기타 조치로는 소형기지국(펨토셀) 안정성 미확보 시 즉시 폐기, CEO 책임 강화 등이다.
이번 정부의 전면 보안점검 착수 배경은 최근 해킹 사고가 빈번해지면서 국민 불안이 커진 데 따른 대응으로, 국가 사이버안보 전략의 단기과제로 시행된다.
이번 점검은 단순 점검을 넘어, 실질적 보안 강화와 책임성 제고를 목표로 하고 있다.
특히, 통신사의 경우에는 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리체계를 구축하도록 한다. 아울러, 소형기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기하는 등 보다 엄격히 조치할 계획이라고 한다.
기업의 보안 해태로 인한 해킹 발생 시 소비자의 입증 책임 부담을 완화하고 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련하는 등 소비자 중심의 피해구제 체계를 구축하는 한편, 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토한다.
중대한 결함이 발생할 경우 인증을 취소할 방침이며, 모의 해킹훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.
정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 높이고, 공공의 정보보호 예산과 인력을 정보화 대비 일정 수준 이상으로 확보한다. 666개사 수준인 정보보호 공시 의무 기업도 상장사전체로 확대하고 공시 결과를 토대로 보안 역량 수준을 등급화하여 공개하는 제도를 도입할 계획이다.
국정자원 화재에 따른 전산망 장애로 시스템 백업과 이중화 미비로 논란이 불거진 가운데 공무원 업무망 보안까지 뚫리면서 정부의 관리 체계 부실 비판은 피할 수 없다. 당장 정부가 추진 중인 공공부문 인공지능(AI) 대전환에도 ‘빨간불’이 켜졌다.
정부는 해킹 정황 인지 후 보안 강화 조치에 나섰다고 밝혔지만, 누구의 소행인지 등 정확한 경위도 파악하지 못한 데다 유출된 인증서의 경우 악용될 소지도 있어 보안 허점이 여실히 드러났다는 지적이 나오고 있다.
보안 인증 제도는 현장 심사 중심으로 전환할 필요가 있다. 보안 강화 대책은 실질적인 대책에 주안점을 둬야 실효성을 거둔다.
