심재철 자유한국당 의원의 청와대 업무추진비 공개가 논란이다. 심 의원이 한국재정정보원 시스템 오류를 이용해 비인가 자료를 내려 받아 공개했기 때문이다. 심 의원실 행동에 대해 보안전문가와 법조인은 '정보통신망의 이용촉진 및 정보보호에 관한 법률' 위반으로 본다. 문이 열려 있더라도 남의 집에 들어가는 건 침입 행위로 보는 것이다. 심 의원실은 비인가 영역에 접속했고 데이터도 내려받아 유출했다.
심 의원실은 정부가 발급한 아이디(ID)로 한국재정정보원 재정분석시스템(OLAP)에 정상 접속했고 시스템 오류(백 스페이스 조작)로 뜬 화면에서 정보에 접근했다고 주장한다. 불법성이 없다는 입장이다.
◇문 열려있다고 들어가면 안 돼…정보통신망법 위반 소지
보안전문가는 심재철 의원실이 정보통신망법 제 48조를 위반했다고 분석했다. 48조는 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입해서는 안 된다는 내용이다. 시스템 오류로 문이 열려 있어도 아무나 들어가선 안 된다.
해당 조항은 화이트 해커가 보안 취약점을 찾을 때도 쟁점이 된다. 예를 들어 A해커가 공익 목적으로 특정 서비스나 시스템에서 보안 취약점을 발견해 해당 내용을 신고할 때 정보통신망법 48조 위반이 거론된다. A해커가 서비스나 시스템에서 보안 취약점을 찾으려면 정당한 접근권한 없이 정보통신망에 침입하게 되는 탓이다. 해커가 보안 취약점만 찾고 자료를 유출하지 않아도 정보통신망법 위반이다. 해당 조항은 논란의 중심이다.
외국 해커는 국내 서비스나 시스템에 보안 취약점을 찾는 '스캐너'를 돌려도 법 저촉을 받지 않는다. 반대로 국내 화이트 해커는 특정 서비스를 스캔해도 정보통신망법을 위반한다. 이런 문제로 국내 보안이 개선되지 않는다는 지적이 높다.
심재철 의원실 자료유출 행위는 화이트해커 취약점 찾기와 같은 경우에 속한다는 분석이다. 심 의원실은 정상 ID로 로그인했지만 시스템 오류를 이용해 비인가 영역에 접근했다. 정보통신망법 48조 1항에 명시된 허용된 접근권한을 넘어 정보통신망에 침입해서는 안 된다는 내용을 어겼다.
![[이슈분석]심재철 의원 재정정보 유출, 시스템 오류지만 망법 위반](https://img.etnews.com/photonews/1809/1114408_20180928165512_027_0002.jpg)
김승주 고려대 사이버국방학과 교수는 “특정 시스템 오류를 찾는 것이 해킹”이라면서 “화이트해커도 공익을 위해 시스템 오류를 찾았다 법 저촉을 받는다”고 설명했다. 이어 “정보통신망법에 명시된 내용은 국회의원이나 일반인이나 모두 평등하게 적용해야 한다”고 덧붙였다.
기획재정부는 “심의원실이 로그인 이후 비인가 영역에 비정상적인 방식으로 접근하고 비인가 자료를 불법 열람, 취득했다”면서 “비정상 접근방식 습득 경위와 불법성에 대한 사전 인지 여부, 불법 행위 계획성과 반복성이 쟁점”이라고 밝혔다.
◇재정분석시스템 보안은
기획재정부는 심의원실 자료유출 사태 후 재정분석시스템에서 비인가 자료 열람과 다운로드를 할 수 없게 차단 조치했다. 재정분석시스템은 2007년 개통된 디지털예산회계시스템 하위 시스템이다. 예산에서 결산까지 다양한 재정통계 정보를 제공한다. 현재 이용자는 각 부처와 기관, 국회를 포함해 총 1400명이 넘는다. ID별로 접근권한이 차등화 돼 의원실에 부여된 ID로 접근하는 영역과 각 부처, 기관 감사실만 접근 가능한 비인가 영역이 있다.
기획재정부는 심의원실 사태 후 보안 개선책을 서둘러 내놨다. 시스템 이상징후에 대한 실시간 모니터링과 사용자가 권한 없는 자료 접근시, 사용자와 관리자에게 문자메시지로 통보하는 실시간 관제시스템을 구축한다. 그동안 이런 조치 없이 이용하다 사고가 터지자 부랴부랴 대책을 내놨다.
![[이슈분석]심재철 의원 재정정보 유출, 시스템 오류지만 망법 위반](https://img.etnews.com/photonews/1809/1114408_20180928165512_027_0003.jpg)
기획재정부는 6월 1일부터 8월 말까지 외부 보안전문기관을 통해 '디지털예산회계시스템 주요정보통신기반시설 보안컨설팅' 사업을 했다. 당시 모의해킹, 전문가 진단 등을 포함한 종합컨설팅 사업을 발주했다. 관리적, 물리적, 기술적 취약점을 분석 평가하고 개선해 보안사고를 사전에 예방하고 대응을 강화하는 목적이다. 해당 컨설팅을 받았다고 보안 문제가 해결되는 건 아니다.
김 교수는 “보안컨설팅을 어떤 범위에서 했는지가 관건”이라면서 “해당 시스템에 관련 영역이 빠져 있으면 아무 소용이 없다”고 설명했다. 전체 시스템을 100으로 봤을 때 40만 하면 나머지 영역에서 문제가 발생한다.
한 보안전문가는 “정보통신기반시설 보안컨설팅은 주로 권한이 없는 공격자가 웹이나 시스템 취약점을 이용해 침입한 후 정보를 유출하는 방법 등에 집중된다”면서 “이번 경우는 인가된 ID로 접근한 후 시스템 오류를 이용해 데이터를 불법 다운로드한 사례”라고 말했다. 이어 “정보통신기반시설 보안컨설팅은 데이터 권한 관리에 대한 내용은 다루지 않는다”면서 “초기 재정정보시스템 설계부터 데이터 권한 설정 오류가 있었을 가능성이 높다”고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com
