[손영동의 사이버세상]<16>온·오프 가리지 않는 국회 정보유출

[손영동의 사이버세상]<16>온·오프 가리지 않는 국회 정보유출

더 안전한 디지털 사회를 위해 불철주야 사이버보안에 매달려 고군분투(孤軍奮鬪)하는 사람들이 있다. 이들은 언제 어떻게 터질지 모르는 비상사태에 대비해 자기 자신과의 힘겨운 싸움을 벌인다. 반대로 생색내기에 급급해 국가정보 중요성을 수시로 망각하는 사람들도 있다.

대한민국 심장부인 국회가 해커에 뚫렸다. 국정원은 지난 20일 비공개 국정감사에서 국회 외교통일위원장을 포함한 국회의원과 보좌진 수십명의 개인용컴퓨터(PC)에서 파일뿐 아니라 이메일 계정까지 털렸고 그 가운데 일부가 북으로 흘러들어간 것으로 확인했다. 특히 군(軍) 정보 등 기밀사항을 다루는 국회 외교통일·국방·정보위원회 등이 국정감사 기간 북한 해커의 집중 타깃이었다.

엄청난 권한을 가진 국회의원 300명 디지털 기기는 북한 해커의 좋은 먹잇감일 수밖에 없다. 대한민국 국정현황을 훤하게 들여다볼 수 있는 정보가 여기에 가득한데 이를 놔둘 리 만무하기 때문이다. 2004년 중국에서 유입된 악성코드가 국회 정보시스템 장애를 일으켰고, 개인별 이메일 패스워드 관리 소홀로 전·현직 국회의원과 국회사무처 직원 등 122명 아이디(ID)가 도용당하는 일이 벌어졌다.

국회사무처 자료에 따르면 지난 2008년부터 2012년 9월까지 국회 안보 관련 상임위인 국방위(63건), 외통위(58건), 정보위(17건) 소속 의원실에서 138차례나 해킹을 당했다. 조사결과 알려진 침해사고일 뿐 정보를 빼내고 흔적 없이 사라진 해킹 건수는 헤아릴 수조차 없을 것이다.

국회사무처 정보시스템과 업무망은 해킹당한 정황이 없다고 한다. 10년 전부터 정보보호를 강화해왔고, 2011년에는 국회 정보시스템이나 전용 이메일에 접속할 수 있는 내부망(인트라넷)과 외부망(인터넷)을 분리했다. 하지만 개개인이 사용하는 상용메일 패스워드나 백신 관리가 소홀하면 해킹을 막을 길이 없는 게 현실이다.

많은 의원이 국회 전용 이메일 계정을 보좌진에게 맡기고 있고, 상용메일 아이디를 의원실에 있는 여러 명이 함께 쓰고 있다. 일부 보좌진은 상용 이메일로 소관 정부부처와 자료를 주고받고 열람만 가능한 자료를 스마트폰으로 찍어 전달하는 일도 비일비재하다. 이렇듯 법제를 만드는 사람들이 최소한의 규정조차 지키지 않는다.

북한으로 추정되는 사이버공격은 정부부처를 직접 겨냥하기도 하고 정치권의 특정 의원으로 위장해 악성코드가 숨겨진 이메일로 우회하기도 한다. 국회사무처가 김무성 새누리당 대표에게 해커가 보낸 ‘낚시성 메일’을 적발해 비밀번호 교체를 요구한 일도 있다. 김 대표는 “내 이메일을 누군가 계속 해킹을 하고 있어 수시로 비밀번호를 바꾸고 있다”고 밝힐 정도다.

국회는 온라인 빗장을 열어둔 것으로도 부족해 오프라인에서도 아무 거리낌 없이 정보를 공개한다. 국가정보 경중은 국회의원 개개인이 판단할 문제가 아니다. 수많은 국가정보를 가장 가까이서 취급하는 국회의원의 감사내용 공개는 이미 돌발 상황이 아닌 게 됐다. 비공개 국감에서조차 회의진행 도중에 알게 된 내용을 불특정다수가 보고 있는 소셜 네트워크에 올리기 일쑤다. 국회법 제54조 ‘정보위원회의 회의는 공개하지 아니한다’는 규정이 무색할 지경이다.

지난 7월 국정원은 정보위에서 야당이 이탈리아 해킹 프로그램을 이용해 내국인 사찰 의혹을 지속 제기하자 이 프로그램으로 북한의 불법적 무기거래를 포착한 사실을 밝혔다. 이 같은 기밀사항은 여야 간사 합의에서 공개하지 않기로 했음에도 일부 여당 관계자가 브리핑하면서 논란이 일기도 했다.

국회법에서 ‘정보위원회의 위원 및 소속공무원은 직무수행상 알게 된 국가기밀에 속하는 사항을 공개하거나 타인에게 누설하여서는 아니 된다’는 규정을 어긴 것이다. 국회의원들의 이와 유사한 행태는 온·오프라인을 가리지 않고 반복되고 있다.

박형준 국회사무총장은 “정부를 견제해야 할 국회가 국정원의 실시간 모니터링을 받는 건 곤란하다”며 자체 보안시스템을 강화하겠다고 한다. 국회사무처도 사이버안전센터를 두고 관제를 하고 있지만 국회의원과 보좌진이 국회법은 물론이고 사이버 안전규정이나 지침을 지키려고 하지 않는 한 그 어떤 대책도 소용이 없다.

손영동 고려대 정보보호대학원 초빙교수 viking@paran.com