UPDATED. 2018-11-19 17:35 (월)
심상정 "재정정보원 자료유출, '관리자 모드'로 뚫려...개발사 삼성SDS컨소 국가정보 공유? 해킹?"
심상정 "재정정보원 자료유출, '관리자 모드'로 뚫려...개발사 삼성SDS컨소 국가정보 공유? 해킹?"
  • 구경회 기자
  • 승인 2018.10.16 17:40
  • 댓글 0
이 기사를 공유합니다

심 의원 "민간 개발자 '백도어'일 경우 2007년부터 삼성SDS에서 국가정보 통째로 공유해왔다는 뜻
해킹이라면 매우 위험상황, 철저한 검찰수사 필요...전체 행정부 전산시스템 백도어 전수조사 필요"
심상정 정의당 의원.(사진=newsis)
심상정 정의당 의원.(사진=newsis)

[일요주간=구경회 기자] 심재철 자유한국당 의원 보좌진들이 지난달 초 재정분석시스템에 비정상적으로 접속해 기획재정부 등 정부기관 30여 곳의 행정정보 수십만 건을 무단으로 열람하고 다운로드한 사건이 한국재정정보원 국정감사에서 도마에 오른 가운데 ‘백도어’ 또는 ‘해킹‘일 가능성이 높다는 주장이 나와 주목된다.

16일 심상정 정의당 의원은 재정정보원에 확인한 결과 심재철 의원 보좌진들이 재정분석시스템에 감사관실용 경로가 아닌 ‘관리자 모드’로 접근했다고 밝혔다.

심상정 의원은 “국회의원 권한이나 감사관실 권한 아닌 ‘관리자 권한’ 뚫려가 뚫린 것으로 드러났다“며 “우회로를 통해 관리자 모드에 접근한 점을 고려하면 전산개발자나 관리자 등이 만들어둔 ‘백도어’ 또는 해킹일 가능성이 높다는 전문가의 의견이 있다“고 설명했다.

기획재정부가 2007년부터 민간업체인 삼성SDS 컨소시엄(삼성SDS, 하나INS, 현대정보기술, 아토정보기술)에 위탁해 구축하고 운영해온 디브레인‧올랩 시스템을 재정정보원이 2016년 인수해 운영해왔다.

이에 대해 심상정 의원은 “국가정보의 무장해제 상태“라며 심각성을 제기하며 “개발자가 만든 백도어라면 개발업체인 삼성SDS가 2007년부터 국가정보를 공유해왔을 수 있다는 것이고, 관리자가 만든 백도어라면 국가정보 유출 범죄에 이용됐을 가능성이 높다“고 주장했다.

이어 “해킹이라면 두말할 필요 없는 위험상황이다. 철저한 검찰수사 필요하다“며 전체 행정부의 모든 전산시스템에 대한 백도어 전수조사의 필요성을 언급했다.

자료출처=심상정 의원실.
자료출처=심상정 의원실.

올랩, ‘관리자 권한’ 뚫려

디브레인(dBrain : 디지털예산회계시스템)은 전국 공무원이 예산을 집행하는 시스템으로, 디브레인에서 통계 수치나 필요한 자료 등을 가져와 디브레인의 하위 메뉴 중 하나인 올랩(OLAP : 재정정보시스템)에 업로드해 올랩을 통해 국회‧감사관 등이 필요한 정보를 열람할 수 있게 하고 있다.

이번에 자료유출된 것은 올랩이라는 게 심상정 의원의 주장이다.

올랩의 경우 국회의원과 감사관의 자료접근 권한을 구분해뒀다. 국회의원은 모든 기관의 간단한 통계정보만 접근가능한 반면 감사관실은 지정된 감사담당기관에 대해서만 세부내역 정보에 접근이 가능하다.

여기서 최근 국회에서 열렸던 심재철 의원과 김동연 부총리겸기획재정부장관 간 대정부질문 국회회의록 내용을 되짚어 볼 필요가 있다.

당시 심재철 의원은 “여기에서 예산 배정 현황이라는 파일이 떠서 각각의 조건을 집어넣어서 실행했더니 ‘조건을 다시 넣어라’라고 해서…… 데이터가 없다, 조건을 다시 넣으라는 메시지가 나와서 그래서 다시 해야 되는구나 하고 백스페이스를 눌렀더니 바로 저렇게 디브레인이라는 폴더가 나타났다. 그리고 그 안에 들어가 보니까 새로운 파일이 떴고 재정 집행실적 등 여러 가지를 볼 수가 있었다“고 접속 과정을 설명했다.

이에 김동연 장관은 “예를 들어서 기재부 같은 경우에 지금 의원님께서 보신 그 자료는 저희 기재부도 볼 수 없는 자료다. 기재부도 권한이 주어져 있지 않은 자료다. 그리고 극히 일부 사람만 제한적으로 볼 수 있는 자료“라고 반박했다.

김동연 장관에 따르면 재정집행 실적은 괄호에 ‘감사관실’이라고 쓰여 있고, 그것은 기재부 같은 경우도 감사관실 외에는 볼 수 없는 자료들이라는 것.

이에 대해 심상정 의원은 “이번 자료유출은 국회 의원실 ID로 적법하게 로그인, ‘시스템 오류를 유발하는 조작’을 통해 모든 피감기관에 대한 세부내역 정보에 접근가능해지며 발생했다“면서 “이는 국회의원 권한도 아니고, 감사관실 권한도 아닌 제3의 권한, 즉 ‘관리자 모드에서 보이는 최종 정보화면(인터페이스)’에 접근한 것“이라는 사실을 재정정보원에 확인했음을 밝혔다.

그러면서 “‘관리자만 접근가능한 자료’에 어떤 경로인지는 모르나 접근해 유출했다는 점에서 더 심각한 문제“라며 “그 경로의 정체가 무엇인지는 검찰이 철저히 밝혀야 한다“고 철저한 수사를 촉구했다.

자료출처=심상정 의원실.
자료출처=심상정 의원실.

관리자 모드의 ‘백도어’ 의혹

심상정 의원실이 확인한 바에 따르면 ‘시스템 오류를 유발하는 조작’은 단순한 ‘오류’일수도 있지만 우회로를 통해 관리자 모드로 접근한 점을 고려하면 전산개발자나 관리자가 만들어둔 ‘백도어’일 가능성이 높다고 전문가들은 지적한다.

백도어가 우연히 발견됐는지 또는 누군가에게 제보 받은 것인지 여부는 검찰이 수사할 영역이라는 게 심상정 의원의 설명이다.

백도어의 경우 컴퓨터 시스템, 암호시스템 등에서 정상적인 인증 절차를 우회하는 방법으로, 개발자나 관리자가 시스템에 손쉽게 접근하기 위해 고의적으로 만들어놓은 비공개 원격 관리 및 접속 기능을 말하는데 허가받지 않고 시스템에 접속하는 권리를 얻기 때문에 대부분 은밀하게 작동하며 보안절차를 거치지 않고 시스템에 접속할 수 있기 때문에 해커들에게 악용되기도 한다고 전문가들은 말한다.

전산시스템 개발‧관리 과정의 부실한 보안관리

심상정 의원은 “관리자 모드가 해킹됐거나, 백도어가 존재하고 공모자가 있을 가능성을 배제할 수 없다“‘면서 “‘두 가지 경우 모두 재정정보원의 보안관리 소홀의 책임“‘이라고 질타했다.

이어 “관리자 모드가 해킹의 경우 보안 능력이 무능하다는 것으로 재정정보원 존재 이유가 의문스러워지는 대목이고, 백도어가 존재한다면 재정정보원 밖의 구축업체 개발자, 관리자 등까지 공모 가능성이 확대된다“고 지적했다.

그러면서 “민간개발자가 만든 백도어라면 개발업체인 삼성SDS 컨소시엄이 국가정보를 공유해왔을 수 있다는 점에서 국가정보 유출 범죄에 이용됐을 가능성이 높다“고 덧붙였다.

또한 “디브레인은 민간업체가 구축하고 운영하다가 2016년부터야 재정정보원을 설립해 운영권을 넘겨받았기 때문에 정부가 시스템 개발단계에서 제대로 관리감독하지 못했던 점을 검토해야 하며 관리감독 능력이 있는지도 재평가할 필요가 있다“고 강조했다.

디브레인‧올랩의 개발사는 삼성SDS 컨소시엄이며 특히 올랩은 현대정보기술(롯데 계열사)에서 구축했다. 

구축 이후 운영업체는 삼성SDS 컨소시엄(삼성SDS,하나INS, 현대정보기술, 아토정보기술 / 삼성SDS, 엘지CNS / 삼성SDS, IT메이트, 하나INS, 요다정보기술, 성민정보기술), KTNET 컨소시엄(KTNET, 아이티메이트, 요다정보기술, 성민정보기술) 등이다.

심상정 의원은 “이 업체들이 백도어를 심어놓았는지, 언제부터 언제까지 유지됐는지, 재정정보원이 백도어를 통제하고 있었는지, 인수 시 백도어 검증 여부 등을 점검해 재정정보원의 시스템 보안관리 수준을 확인해야 한다“고 말했다.

아울러 “올랩은 2008년부터 서비스 제공하기 시작해 재정정보 공개 범위를 지속적으로 확대해왔다“면서 “관리자 모드 우회로(백도어)로 그동안 얼마나 많은 정보가 유출 위험 상황 속에 제공돼 왔는지 점검해야 한다“고 강조했다.


섹션별 인기기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.