[기획재정위 종합국정감사]

심상정, “2018년 3월 재정정보원,

국정원 보안점검 ‘올랩’ 점검대상 제외”

- 2005년 디브레인 위탁개발부터 10년간 보안점검 전무

- 2016년 재정정보원 이관 시에도 내부해킹 ? 백도어 가능성은 한 번도 점검 안 해

2018. 년 재정정보원 준정보기관으로 지정, 3월에 처음으로 국정원 보안점검 실시했으나 올랩 ? MSTR 제외

• 정보유출은 국정원 보안점검 이후 발생
• 민간업체 위탁개발?운영으로 전체 행정부서 전산망 디브레인과 닮은 꼴… 전 부처 일체 점검에 나서야

• 백도어 가능성 배제할 수 없어, 철저한 검찰수사 필요

○ 로그 기록을 남기지 않고 접속하는 백도어 기술적 가능성 충분하며,

- MSTR이 상용 프로그램이지만 커스터마이징하여 디브레인에서 사용하는 것 자체가 개발업체의 작업에 포함되므로 백도어 등 설치 가능성 충분하고,

- 위 사항에 대하여 재정정보원은 동의한 바 있음

- 올랩의 취약점이 무엇인지, 어떻게 노출된 것인지 등을 확실히 규명하고 보완하지 않으면, 올랩 외의 영역에서도 같은 문제 재발 가능

5. 년 민간업체 위탁개발부터 시작해 16년도 재정정보원 설립된 지금도 백도어 등 내부망 보안점검 전무

○ 05년 디브레인 개발 시작한 후 현재까지 내부망 보안점검 전무

5. 년 민간업체 위탁개발 이후 보안점검 없었음
16. 년 재정정보원 설립 이후 디브레인 인수인계 시에도 보안점검 없었음

• 사이버안전센터에서는 외부 사이버 공격에 대응하는 업무를 전담하며, 내부접속을 통한 백도어/해킹 등에 대해서는 담당하고 있지 않음
• 디브레인운영본부 인프라운영팀은 하드웨어 관련 유지보수 담당

18. 년 처음으로 국정원 보안점검 받았으나 올랩은 내부망이라는 이유로, MSTR은 상용 소프트웨어라는 이유로 점검 대상에서 제외

○ 국정원 보안점검은 올해 3월, 처음으로 실시되었음에도 불구하고 올랩과 MSTR을 점검대상에서 제외해, 비인가정보 유출을 막지 못함

- 보안점검은 단 하루 만에 했고, 기본 실태 점검만 하고 세부사항은 점검치 않음. 이는 재정정보원 만이 아니라 모든 행정부처에 동일하게 적용됨.

- 내부망에 접근할 수 있는 아이디나 방법이 여러 가지이므로 점검대상에 포함시켰어야 함

- 또한 MSTR도 상용 소프트웨어를 커스터마이징한 순간부터는 이미 상용 소프트웨어가 아니므로 점검대상에 포함시켰어야 함

○ 민감한 공공정보 전산망을 민간업체에 위탁개발? 운영함으로써 발생하는 보안 우려로 재정정보원을 설립하여 디브레인 등을 담당하게 되었으나,

- 그동안의 위탁개발? 운영 ? 유지보수 담당하던 민간업체 출신 대거 채용, 이는 민간업체에 세금으로 집을 지어준 것이나 다름없음

2005. 년 진대제 정보통신부 장관, 디브레인 등 정부 부처 행정망 민간으로 아웃소싱. 민간업체에 공공정보 전산망 개발? 보안 모두 아웃소싱해

○ 2001년 김대중 대통령 전자정부 도입 선포. 모든 행정부처 공공정보 전산망 개발 본격화

- 2001년 ‘민원24’, ‘홈택스’ 등 정부업무와 대민서비스의 전자적 처리를 목표로 전자정부 수립 추진

- 참여정부를 거쳐 국가관세종합망? 국가복지종합서비스 등 전산망 대거 구축

- 2005년 진대제 정통부 장관, 행정부처 전산시스템 민간으로 대거 아웃소싱, 삼성SDS, LGCNS 등 참여.

○ 전 행정부처의 전산망 일체로 백도어 등 내부망 보안점검 실시해야 함

[질의응답 전문]

■ 2018년 기획재정위원회 종합국정감사

■ 2018-10-29

◆ 심상정 의원: 장관님, 제가 지난번 한국재정정보원 국감 때, 이번에 비인가정보 유출과 관련해서 해킹에서부터 시작해서 백도어 가능성까지 제기한 것, 들으셨죠? 제가 이 문제가 중요하다고 생각하는 이유는 정부가, 특히 기재부가 모든 기술적 가능성에 대비해야 한다는 말씀을 드리기 위함입니다. 수사 의뢰는 했는데 고발장을 안 주시니까 제가 여쭤보겠는데, 제가 제기한 백도어까지 모든 기술적 가능성에 대한 수사가 의뢰된 겁니까?

◇ 김동연 부총리 겸 기재부 장관: 그 내용은 우리 2차관이 잘 알고 있는데, 양해해주시면 2차관이 답변 드리도록 하겠습니다.

◆ 심상정 의원: 네, 네. 간단히 얘기해주세요.

◇ 김용진 기획재정부 제2차관: 수사 의뢰에 대한 부분은 접속 경위에 대한 내용을 포함하고 있기 때문에 그러한 내용도 포함하고 있다고 말씀드릴 수 있겠습니다.

◆ 심상정 의원: 지난번에 국감 때 재정정보원장께서는 지난 10년간 로그 분석 결과, 비정상적인 출입기록이 발견되지 않았다고 했는데 제가 여러 전문가에게 확인해보니 로그를 남기지 않고 접속하는 백도어 기술적 가능성은 충분하다는 것이 거의 100% 그런 의견이었고요. 그다음에 MSTR을 개발한 것이 아니라 구입한 것이기 때문에 삼성SDS 컨소시엄을 비롯한 개발 운영업체에 의한 백도어 가능성은 없다고 부정했다가, 결국 커스터마이징을 개발업체가 하므로 '이건 수사해봐야 할 사항이다'라고 바로잡으셨어요. 제가 이 문제와 관련해서 정말 중요하게 생각하는 것은 2005년도에 기재부가 민간업체에 위탁 운영할 때부터 시작해서 16년 재정정보원이 설립된 이후 오늘까지 백도어 등 내부망 안전보안 점검이 전무하다는 겁니다.

첫째, 2005년 디브레인 개발 이후 현재까지 내부 보안 점검이 없었어요. 둘째, 그렇다면 2016년도에 재정정보원 설립 이후에 인수하면서 백도어를 비롯한 내부 보안 유출 점검이 되어있느냐고 물었을 때, 지난번에 디브레인운영본부장이 10년 동안 기재부가 맡겨서 안정적으로 운영해온 관점에서만 인수했다고 답변했고, 곧 백도어 점검을 안 한 거라고 답을 했고요. 셋째, 재정정보원의 사이버안전센터에 제가 확인해보니 사이버안전센터에서는 외부 사이버 공격에 대응하는 업무를 전담하지, 내부접속을 통한 백도어라든지 해킹에 대해서는 담당하고 있지 않다고 했어요. 그렇다면 재정정보원 디브레인운영본부의 인프라운영팀은 뭘 하나 봤더니 하드웨어 관련된 유지보수만 한다는 거죠. 전혀 점검된 바가 없어요. 그렇다면 준정부기관으로 지정되면 국정원에서 보안 점검을 받는데, 올해 처음으로 준정부기관으로 지정되어서 국정원 보안 점검 관리를 받는데, 3월에 받았어요. 결국은 국정원 보안 점검 이후에 뚫린 것 아니겠습니까?

그렇다면 국정원 보안 점검으로도 안 되면 도대체 뭐가 문제인가 제가 좀 답답해서 내용을 확인해보니, 처음으로 국정원 보안 점검을 받았지만 올랩은 내부망이라는 이유로 점검대상에서 제외되었고, MSTR은 상용 소프트웨어라는 이유로 제외되었단 말입니다. 내부망에 접근할 수 있는 아이디나 방법이 여러 가지기 때문에 점검대상에 당연히 포함해야 하고, MSTR도 상용 소프트웨어를 커스터마이징한 순간부터는 이미 상용 소프트웨어가 아니거든요. 그러니 당연히 점검대상에 포함했어야 했는데 안 했어요. 보안 점검도 단 하루 만에 되었고, 기본실태만 점검해서 오케이 되었단 말이에요.

결론은 한국재정정보원의 재정관리 프로그램은 2005년에 민간위탁된 때부터 재정정보원이 만들어진 이후에도 국정원이 보안 점검을 하는 것까지도 한 번도 내부망에 대한 보안 점검은 없었다. 이런 상황에 대해서 어떻게 생각하세요, 장관님?

◇ 기획재정부 장관: 저보다는 2차관이 답변하기 좋을 것 같기는 한데, 제가 의원님 말씀 듣고 답변을 드리자면요. 디브레인이나 올랩은 이용자가 전부 공직자들이거든요. 그런 데서 기인한 여러 원인이 있을 것 같습니다.

◆ 심상정 의원: 원래 한국재정정보원을 설립하게 된 배경이 뭐냐면, 이렇게 엄청난 국가재정정보를 민간에게 맡겨서야 되겠느냐 해서 재정정보원을 만들게 된 거예요. 여기 표를 한번 보시죠.

재정정보원에서 중요한 기술과 정보를 담당하는 디브레인운영본부 총 92명 중에 절반 이상인 47명이 위탁개발·운영·유지보수 민간업체 출신들이 맡고 있어요. 물론 기술업체이기 때문에 상당수 채용하는 것이 저도 가능하다고는 보는데, 문제는 이를 처음부터 개발하고 운영했던 업체에 있던 분들이 중요한 정보관리 위치에 다 역할을 하고 계시거든요.

민간에 위탁해서야 되겠냐, 해서 재정정보원을 만들었는데 이게 내부망에 대해서는 한 번도 보안 점검이 되지 않고, 백도어나 해킹 가능성도 내부망 차원에서는 전혀 점검이 안 되었죠. 거기에 이렇게 많은 민간 개발·운영·유지보수 업체에서 들어와서 하면, 이건 민간업체에 집 지어 준 거나 다름없지 않습니까? 극단적으로 말하면 그런 가능성이나 개연성도 있다는 것을 말씀드리는 겁니다.

그래서 마지막으로 제가 말씀드리는 것은 전자정부 시대 도입을 선포하면서 모든 정부 부처의 행정망이 민간으로 아웃소싱되고, 민간업체가 공공정보 전산망을 개발하고, 보안도 아웃소싱하고 있거든요. 거의 한국재정정보원과 똑같은 방식으로 진행되고 있어요. 홈텍스라던지, 민원24, 국가복지종합서비스, 국가관세종합망 이 모든 것들이 다 같은 방식으로 운영되고 있기 때문에 전 행정부처의 전산망 일체에 백도어를 비롯한 내부망 보안 점검이 철저히 시행되어야 하고, 그에 따른 보안대책이 범정부 차원에서 마련되어야 합니다. 그리고 비인가정보 유출과 관련해서는 이런 모든 기술적 가능성이 수사 대상에 포함될 수 있도록 장관께서 책임지고 추진하시겠습니까?

◇ 기획재정부 장관: 네, 지금 이 답변은 2차관이 하도록 하고요. 그 방향에 대해서는 위원님께서 주신 말씀 명심하겠습니다. 그리고 수사 결과가 나와봐야지 알겠지만, 그 과정에서 같이 점검을 안전하게 진행하고 있는 것으로 알고 있습니다만 이참에 여러 가지 필요한 조치들을 할 수 있도록 하겠다는 말씀을 드리고요.

◆ 심상정 의원: 국회의원이 자료 하나 보려면 하늘의 별 따기인데, 이렇게 중요한 핵심 국가기밀을 비롯한 국가정보들이 어딘가 새고 있다고 한다면 그건 말이 안 되는 거잖아요. 2차관께서 말씀해주시기 바랍니다.

◇ 기획재정부 제2차관: 예, 위원님께서 여러 가지 말씀 주셨는데요. 재정정보분석시스템을 포함한 국가정보 주요 시스템이 개발단계에서 소위 백도어라고 하는 루트라고 할까요? 개발자들이 사용하는 이런 것들이 아마도 설치되어있거나 운영될 수 있을 개연성이 있다는 말씀을 주셨고요. 이번 재정정보분석시스템의 정보 유출 사건과 관련해서는 그 부분이 사실 접속 경위와 관련된 부분들이기 때문에 그 부분을 포함해서 수사하고 있을 것이라고 저는 믿고 있습니다.

그리고 또 하나 걱정해주신 부분이 한국재정정보원 같은 경우에는 물론 2016년에 새로 출범하면서 옛날의 시스템을 인수·인계받아서 안정적으로 운영해야 하므로 당초의 시스템 개발·운영·유지보수 인력들이 상당부 참여한 것은 불가피합니다. 그럼에도 불구하고 내부인력에 대한 보안 관리 측면에서 잘 되고 있는지도 걱정해주셨습니다. 그런 부분들이 수사라거나 정부 내부 입장이랄까 하는 것은 백도어의 존재 가능성 자체를 전면 부인하는 상태에서 갈 것이 아니라, 혹시라도 모르니 상정하고서 보안 관리 시스템을 전반적으로 재점검을 하는 것이 필요하지 않냐고 말씀드렸습니다. 수사가 어느 정도 마무리되는 대로 위원님께서 말씀 주신 보안 관리상에 있을지 모르는 취약점을 저희도 내부적으로 면밀히 점검하고 인적 보안 문제에 있어서도 다시 한번 전반적으로 재점검해보도록 하겠습니다.

보도자료 원문보기(링크)