• 당원교육
  • 당비납부
  • 당비영수증
    출력
  • 당비납부내역
    확인
  • [심상정_국정감사6] 재정정보원 자료유출, 감사관실용 경로 아닌 ‘관리자 권한’ 뚫린 것으로 확인. 더 심각한 문제

심상정, “재정정보원 자료유출, 감사관실용 경로 아닌 관리자 권한뚫린 것으로 확인. 더 심각한 문제

민간 개발자 백도어일 경우,

07년부터 삼성SDS에서 국가정보 통째로 공유해왔다는 뜻

 

- 심상정 의원실이 한국재정정보원에 확인한 결과 감사관실용 경로가 아닌 관리자 권한이 뚫린 것으로 드러남. 우회로를 통해 관리자 모드에 접근한 점을 고려하면 전산개발자나 관리자 등이 만들어둔 백도어또는 해킹일 가능성이 높다는 전문가의 지적.

- 기획재정부가 ‘07년부터 민간업체인 삼성SDS 컨소시엄에 위탁해 구축하고 운영해온 디브레인?올랩 시스템을 재정정보원이 ’16년 인수해 운영해왔음.

- 국가정보의 무장해제 상태. 개발자가 만든 백도어라면 개발업체인 삼성SDS2007년부터 국가정보를 공유해왔을 수 있다는 것이고, 관리자가 만든 백도어라면 국가정보 유출 범죄에 이용되었을 가능성이 높으며, 해킹이라면 두말할 필요 없는 위험상황. 철저한 검찰수사 필요하며, 전체 행정부의 모든 전산시스템에 대한 백도어 전수조사 필요.

참고

<자료1> 한국재정정보원의 설명자료 중 발췌

<자료2> 심재철 의원의 대정부질문 국회회의록 중 발췌

<자료3> ‘관리자 모드에 대한 한국재정정보원 설명

 

 

 

 

2018년 기획재정위원회 국정감사

한국재정정보원

2018-10-16

 

 

올랩, 국회의원 권한이나 감사관실 권한 아닌 관리자 권한뚫려

 

디브레인(dBrain; 디지털예산회계시스템)은 전국 공무원이 예산을 집행하는 시스템. 디브레인에서 통계 수치나 필요한 자료 등을 가져와 디브레인의 하위 메뉴 중 하나인 올랩(OLAP; 재정정보시스템)에 업로드해, 올랩을 통해 국회?감사관 등이 필요한 정보를 열람할 수 있게 함.

- 이번에 자료유출된 것은 올랩.

 

올랩은 국회의원과 감사관의 자료접근 권한을 구분해두었음.

- 국회의원은 모든 기관의 간단한 통계정보만 접근가능 (국회의원 권한)

- 감사관실은 지정된 감사담당기관에 대해서만 세부내역 정보에 접근가능 (감사관실 권한)

 

 

<자료1 한국재정정보원의 설명자료 중 발췌>

그림입니다.원본 그림의 이름: 재정정보원 입장 중 발췌-1.jpg원본 그림의 크기: 가로 1317pixel, 세로 369pixel

 

<자료2 심재철 의원의 대정부질문 국회회의록 중 발췌>

?심재철 의원 (전략) 여기에서 예산 배정 현황이라는 파일이 떠서 각각의 조건을 집어넣어서 실행했더니 조건을 다시 넣어라라고 해서…… 데이터가 없다, 조건을 다시 넣으라는 메시지가 나와서 그래서 다시 해야 되는구나 하고 백스페이스를 눌렀더니 바로 저렇게 디브레인이라는 폴더가 나타났습니다. 그리고 그 안에 들어가 보니까 새로운 파일이 떴고 재정 집행실적 등 여러 가지를 볼 수가 있었습니다.

(중략)

?부총리겸기획재정부장관 김동연 (전략)예를 들어서 저희 기재부 같은 경우에 지금 의원님께서 보신 그 자료는 저희 기재부도 볼 수 없는 자료입니다. 기재부도 권한이 주어져 있지 않은 자료입니다. 그리고 극히 일부 사람만 제한적으로 볼 수 있는 자료고요.

(중략)

?부총리겸기획재정부장관 김동연 그렇지 않습니다. 재정집행 실적은 괄호에 감사관실이라고 쓰여 있고 그것은 저희 기재부 같은 경우도 감사관실 외에는 볼 수 없는 자료들입니다. (후략)

 

이번 자료유출은 국회 의원실 ID로 적법하게 로그인하여 시스템 오류를 유발하는 조작을 통해 모든 피감기관에 대한 세부내역 정보에 접근가능해지며 발생.

- 이는 국회의원 권한도 아니고, 감사관실 권한도 아닌 제3의 권한

- , 관리자 모드에서 보이는 최종 정보화면(인터페이스)’에 접근한 것이며, 한국재정정보원에 확인함.

- ‘관리자만 접근가능한 자료, 어떤 경로인지는 모르나, 접근해 유출했다는 점에서 더 심각한 문제.

- 그 경로의 정체가 무엇인지는 검찰이 철저히 밝혀야 할 문제.

 

<자료3 ‘관리자 모드에 대한 한국재정정보원 설명>

그림입니다.원본 그림의 이름: 관리자모드.jpg원본 그림의 크기: 가로 803pixel, 세로 727pixel

 

관리자 모드의 백도어의혹

 

관리자 모드로 접근하는 우회로, ‘백도어또는 해킹

- ‘시스템 오류를 유발하는 조작은 단순한 오류일수도 있지만, 우회로를 통해 관리자 모드로 접근한 점을 고려하면 전산개발자나 관리자가 만들어둔 백도어일 가능성이 높다고 전문가들은 지적.

- 백도어가 우연히 발견됐는지 또는 누군가에게 제보 받은 것인지 여부는 검찰이 수사할 영역.

[참고] 백도어(back door)

컴퓨터 시스템, 암호시스템 등에서 정상적인 인증 절차를 우회하는 방법. 개발자나 관리자가 시스템에 손쉽게 접근하기 위해 고의적으로 만들어놓은 비공개 원격 관리 및 접속 기능을 말함. 우리말 뒷문이라는 단어의 어감에서 알 수 있듯이, 허가받지 않고 시스템에 접속하는 권리를 얻기 때문에 대부분 은밀하게 작동함. 보안절차를 거치지 않고 시스템에 접속할 수 있기 때문에 해커들에게 악용되기도 함.

 

전산시스템 개발?관리 과정의 부실한 보안관리

 

관리자 모드가 해킹되었거나, 백도어가 존재하고 공모자가 있을 가능성이 있음. 두 가지 경우 모두 재정정보원의 보안관리 소홀의 책임.

- 의 경우, 보안 능력이 무능하다는 것으로 재정정보원 존재 이유가 의문스러워지는 대목.

- 의 경우, 백도어가 존재한다면 재정정보원 밖의 구축업체 개발자, 관리자 등까지 공모 가능성이 확대됨.

- 민간개발자가 만든 백도어라면 개발업체인 삼성SDS 컨소시엄(삼성SDS, 하나INS, 현대정보기술, 아토정보기술)2007년부터 국가정보를 공유해왔을 수 있다는 점에서 심각한 문제이며, 관리자가 만든 백도어라면 국가정보 유출 범죄에 이용되었을 가능성이 높음.

- 또한 디브레인은 민간업체가 구축하고 운영하다가 2016년부터야 재정정보원을 설립해 운영권을 넘겨받았기 때문에 정부가 시스템 개발단계에서 제대로 관리감독하지 못했던 점을 검토해야 하며 관리감독 능력이 있는지도 재평가 필요.

 

디브레인?올랩의 개발사는 삼성SDS 컨소시엄(삼성SDS, 하나INS, 현대정보기술, 아토정보기술)이며, 특히 올랩은 현대정보기술(롯데 계열사)에서 구축했음.

- 구축 이후 운영업체는 삼성SDS 컨소시엄(삼성SDS,하나INS, 현대정보기술, 아토정보기술 / 삼성SDS, 엘지CNS / 삼성SDS, IT메이트, 하나INS, 요다정보기술, 성민정보기술), KTNET 컨소시엄(KTNET, 아이티메이트, 요다정보기술, 성민정보기술) 등임.

- 이 업체들이 백도어를 심어놓았는지, 언제부터 언제까지 유지되었는지, 재정정보원이 백도어를 통제하고 있었는지, 인수 시 백도어 검증 여부 등을 점검하여 재정정보원의 시스템 보안관리 수준을 확인 필요.

- 올랩은 2008년부터 서비스 제공하기 시작하여, 재정정보 공개 범위를 지속적으로 확대해왔음. 관리자 모드 우회로(백도어)로 그동안 얼마나 많은 정보가 유출 위험 상황 속에 제공되어왔는지 점검해야 함.

 

전체 행정부처의 정보?전산시스템에 대한 대대적인 백도어 점검 및 재발방지 대책 마련 촉구

 

관리자 모드백도어에 대한 의혹까지도 철저한 검찰수사가 필요하며, 디브레인과 올랩 구축업체부터 지금까지 운영을 맡아왔던 업체 모두 샅샅이 조사해야 함.

 

또한 행정부 각 부처 및 산하기관에서 사용하고 있는 모든 전산시스템에 대한 백도어 전수조사 필요.

참여댓글 (0)