정부 주요 웹 사이트가 외국 해커에 의해 또 뚫렸다. 해킹된 기관은 지난해 1월 대통령 직속 기관으로 출범한 ‘군의문사진상규명위원회(www.truthfinder.go.kr, 이하 위원회)’. 8일 전자신문이 정부의 사이버보안 정책을 취재하는 과정에서 위원회의 홈페이지가 해킹된 사실을 확인했다. 겉으로 드러난 위원회 홈페이지는 아무 일이 없는 듯하나 ‘triad.htm’ 명령어를 치자 해커들이 자신들의 방문을 의도적으로 알려 놓은 해킹 흔적이 고스란히 남아 있다.
이에 대해 위원회는 지난 1일 국가사이버안전센터(NCSC)로부터 연락을 받고 NCSC에 웹로그 기록을 제출, 해당 페이지를 삭제하고 주민등록번호 정보 등을 변경하는 등 조치를 취했다고 해명했다. 그러나 해커들이 삽입한 웹 페이지는 모두 4개며 이 중 1개만 삭제했을 뿐 나머지 3개는 8일 오후 뒤늦게 삭제했다. 위원회 및 NCSC 측이 해킹 중 일부만 파악한 것으로, 사고가 난 지 1주일이 다 돼서야 조치를 취했다.
문제는 해당 기관은 물론이고 NCSC조차 수일이 지날 때까지 해킹 사실을 알지 못했다는 점이다. 국가기관의 웹 사이트에 대한 사이버보안이 얼마나 허술한지 적나라하게 보여준다.
국내 보안 전문가는 이번 해킹 사실에 대해 “해킹 경로를 추적해봐야겠지만 이 정도면 이미 내부 시스템 접속 권한을 획득한 것은 물론이고 정보가 유출됐을 가능성이 매우 높다”고 진단한 뒤 “대통령 직속 기관에서 운영하는 웹 사이트조차 이렇게 허술하게 관리되고 있다는 점은 우리나라 사이버보안 정책의 수준을 보여주는 것”이라고 꼬집었다.
전자정부 IT코리아의 사이버보안의 허술함은 사실 어제오늘의 일이 아니다. 지난 2003년 발생한 ‘1·25 인터넷 대란’ 이후에도 웜 확산, 의도적인 해킹, 개인정보 유출 등 언론에 공개된 큰 사건만 10건이 넘는다. 표 참조
1·25 대란을 계기로 출범한 NCSC를 중심으로 중앙부처 및 주요 기관의 보안 정책은 그 나름대로 강화 기조를 띠고 있으며 체계를 잡아가고 있다. 그러나 우리나라 전자정부 구현 수준에 비해 보안 수준은 여전히 낙후돼 있다는 평가다. 대형 사건이 발생하지 않았을 따름이지 크고 작은 보안사고는 여전히 발생하고 있으며, 무엇보다 그 가능성이 곳곳에 노출돼 있다는 점에서 결코 안심할 수 없다.
지난 연말, 본지가 영화티켓무인발급기 및 ATM 등 일부 윈도 기반 무인단말기 오작동과 그에 따른 해킹 및 개인정보 유출 가능성을 확인한 후 사실상 이목은 행자부의 주민등록등·초본 무인발급기로 쏠렸다. 연간 500만건 이상이 사용되는 발급기가 해킹될 경우 개인정보가 고스란히 유출될 위험이 있기 때문이다.
행자부는 윈도 화면 전환 가능성은 없다고 발표했지만 본지 탐사기획팀이 조사한 결과 발급기 역시 일반적인 윈도 기반 단말기와 동일한 오류 발생 가능성이 있음이 사실로 확인된 후였다. 시·군·구 단위에서 행자부의 조치를 즉각 시행하지 않을 경우 개인정보 노출 및 악용 가능성이 남아 있다는 의미다. 본지 작년 12월 29일자 1·3면, 인터넷 동영상 참조
보안 전문가 그룹 시큐어연구회는 최근 ‘기사 보내기’ 기능이 있는 웹 사이트의 경우 웹 애플리케이션의 논리적 취약점으로 패킷 변조가 가능해 피싱과 같은 해킹이나 악성코드 배포가 가능하다고 경고했다. 이 경우 악의적인 목적을 가진 자가 자신의 PC가 아닌 해당 사이트의 IP에서 조작된 데이터나 악성 프로그램을 발송할 수 있다는 점에서 심각성이 크다.
지난해 연말, 국회 디지털포럼(대표 서상기 의원)에서 과기·정통부 및 산하 37개 국가기관을 대상으로 실시한 모의해킹 결과에 따르면 크로스사이트스크립트(XSS)의 취약점(22%)과 같은 기술적 한계부터 백업파일 관리 소홀(19%) 및 패스워드 설정 취약점(8%)까지 취약점 발생 분야도 다양한 것으로 나타났다. IT 분야에 대한 인식이 앞서 있는 과기 분야 소속 관계기관이 이 정도라면 일반 부처 및 유관기관의 상황이 어느 정도일지는 미뤄 짐작할 수 있다.
NCSC 관계자는 “안정성보다는 지나치게 효율성에 초점을 맞추다 보니 사이버 안전이 곁가지 일로 경시되고 있는 실정”이라며 “사실 부처에서는 크고 작은 보안사고에 따라 내려지는 시정조치조차 등한시하고 있다”고 말했다.
특히 예산을 담당하는 기획예산처는 물론이고 중앙 부처 대부분은 각 부처가 투자하는 IT 비용 중 정보보호 관련 예산을 정확히 파악하지 못할 뿐 아니라 정보보호 관련 투자의 중요성을 인지하지 못해 보안 관련 사업은 뒷순위로 밀리고 있는 실정이다.
보안 관련 전문가들은 지난해 24개 중앙 부처의 시스템을 대전의 센터로 통합, 정부통합전산센터가 공식 가동됐다는 점에서 정부의 보안 정책에 대한 전반적인 밑그림을 그릴 때가 됐다고 입을 모은다. 센터 통합에 따른 인적·물리적·네트워크적 보안사고 발생 가능성이 커진데다 애플리케이션과 시스템(서버) 분리, 관리로 인해 사고 발생에 따른 신속한 원인 분석과 대처가 어려운만큼 이에 대한 조치가 필요하다는 견해다.
정부통합전산센터와 부처 간, NCSC 및 한국정보보호진흥원(KISA) 등 유관기관 간 사전 정보공유 및 일사불란한 대응체계를 구축하지 않을 경우 사이버 대란은 과거보다 더 커질 수도 있다는 우려다.
<탐사기획팀=신혜선·이병희·김규태·한정훈@전자신문, shinhs·shake·star·existen@>
