보안 전문가 “정부기관도 털렸다” 경고…전수조사·정보공유 강화 시급

[이데일리 권하영 기자] 올해 4월 SK텔레콤에 이어 최근 KT(030200)·롯데카드 해킹 사고 여파로 사회적 불안감이 높아지는 가운데, 기업뿐만 아니라 정부기관 역시 해킹 가능성이 제기되며 국가 정보보호 체계 전반을 재확립해야 한다는 보안 전문가의 경고가 나왔다.

김승주 고려대 정보보호대학원 교수가 국회 과학기술정보방송통신위원회가 24일 여의도 국회본관에서 실시한 대규모 해킹사고 관련 청문회에서 참고인으로 출석해 발언하고 있다. (사진=권하영 기자)

김승주 고려대 정보보호대학원 교수는 국회 과학기술정보방송통신위원회가 24일 여의도 국회본관에서 실시한 대규모 해킹사고 관련 청문회에서 참고인으로 출석해 “기업뿐만 아니라 정부부처도 해킹 관련 전수조사를 해야 한다”며 장기적으로는 국가 차원에서 사이버 분야 ‘3축 체계’ 구축이 시급하다고 주장했다.

김 교수가 정부부처 전수조사를 주장하는 근거는 미국 보안 전문매체 ‘프랙’ 보고서에 있다. 프랙은 지난 8월 보고서를 통해 KT와 LG유플러스가 오랜 기간 해킹을 당했으며 정보 유출 정황이 있다고 알린 바 있다. 김 교수는 “프랙 보고서를 보면 행정안전부, 외교부, 통일부, 방첩사 등 우리나라 정부 역시 많이 털렸다는 내용이 담겨 있다”며 “특히 공무원들이 보고서나 회의록을 공유하는 온나라 시스템도 해킹당했다는 사실은 이미 우리나라 정보기관이 확인한 상태”라고 밝혔다.

김 교수는 업무용과 인터넷용 PC망을 분리하는 우리나라의 ‘망분리’ 체계가 코로나19 이후 급격히 무너지면서 단초가 됐고, 최근 전국민 인공지능(AI) 도입 등 정책이 시행되는 가운데서는 그 속도가 더욱 빨라질 것이라고 우려했다.

이 같은 위험을 최소화하기 위해서는 우선 정부부처에 대한 해킹 여부를 조속히 전수조사해야 한다는 주장이다. 김 교수는 “정부가 기업들을 압박해 전수조사를 하고 있지만 정작 정부부처는 전수조사를 시작하지 못한 것으로 안다”며 “현황 파악이 시급하므로 과방위를 포함해 전 상임위에서 빠르게 나서달라”고 요청했다.

또한 김 교수는 국방 분야에서 외부 공격에 대해 탐지-방어-무력화 등 3축 체계로 대응하고 있는 점에 비유해, 사이버 분야 역시 이 같은 3축 체계를 국가적으로 구축해야 한다고 지적했다. 그는 “첫째로 탐지 측면에서는 정부부처와 산하기관이 중요 정보를 공유하는 체계가 필요하다”며 “공유 체계가 지금도 있긴 하지만, 부처 칸막이로 제대로 된 정보가 오가지 못하고 있다”고 지적했다.

방어 측면에서는 보안 관련한 현행 평가·인증 제도를 재정비해야 한다는 진단이다. 실제 KT와 함께 대규모 정보 유출 사고를 일으킨 롯데카드의 경우 정보 유출 불과 며칠 전 당국의 보안 인증 제도인 ‘ISMS-P’ 인증을 획득했다고 알려져 ‘ISMS 무용론’을 지핀 바 있다. 아울러 무력화 측면에서는 재발 방지를 위해 기업과 기관이 로그 기록을 필히 보존하도록 제도적 개선이 필요하다고 제언했다.

국회 정무위원회 소속 추경호 국민의힘 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면, 2021년부터 올해까지 중앙행정기관에서 발생한 개인정보 유출 건수는 총 3만8281건에 달한다. 부처별로는 국토교통부가 2만7863건으로 전체의 70% 이상을 차지했다. 국방부 6414건, 농림축산검역본부 3155건, 국세청 839건, 개인정보보호위원회 10건도 발생했다.

이를 놓고 김 교수는 이날 과방위 청문회에 앞서 개인 소셜미디어를 통해 “그동안 누가 어떻게 책임을 졌는가”라며 “주민등록증 및 주민번호 무상 교체라는 선제적 조치는 했는가, (기관들이) 행정적 책임은 졌는가”라고 쓴소리를 던진 바 있다.