옛 해양경찰청(현 국민안전처 해양경비안전본부)이 세월호 사고 등 긴급상황의 신속한 보고·전달을 위해 운영하는 '상황전파시스템'에 무단 침입 및 시스템장애 사고가 발생했는데도 상부 보고나 철저한 조사 없이 유야무야 넘어간 것으로 드러났다.

행정자치부가 지난해 3월 공공아이핀 75만건 부정 발급 해킹사고에 대응하는 과정에서 7만건의 추가 해킹사고를 발견하고도 은폐한 사실도 적발됐다. 감사원은 18일 이같은 내용을 담은 '국가 사이버안전 관리실태' 감사 결과를 공개했다.

◇해경, 외부업체의 시스템 불법 침입사고 은폐

세월호 사고 발생 7개월 후인 2014년 11월7일 오전 7시30분께 해경 상황전파시스템에 의문의 IP가 불법으로 접속, 데이터 삭제 프로그램을 실행하는 방법으로 시스템 전산자료를 삭제하는 일이 발생했다. 이에 따라 이튿날 오전 1시30분까지 약 18시간 동안 시스템상의 보고서 열람기능 등이 실행되지 않는 장애를 겪었다. 시스템에 장애가 생기면 긴급상황 발생시 적기에 상황 분석과 판단을 하지 못해 인명 손실 및 재산 피해를 초래하는 등 심각한 문제가 발생할 수 있다.

당시 의문의 IP를 우연히 발견한 시스템 유지보수업체는 해경 담당자와 함께 추적한 끝에 과거 시스템 유지보수를 맡았던 A사 사무실의 노트북을 출처로 확인했다.

A사는 1년 5개월 전인 2013년 6월 해당 시스템 유지보수계약이 종료됐지만 해경이 규정과 달리 기존 관리자계정의 비밀번호를 변경하지 않은 탓에 이를 이용해 접근할 수 있었다.

그러나 해경의 B계장은 이같은 보안사고를 담당자로부터 보고받은 뒤 '단순 실수'라는 A사의 해명을 그대로 받아들여 규정된 고발 등의 조치를 취하지도 않았을 뿐만 아니라 과장이나 보안담당관 등에도 보고하지 않고 은폐했다.

B계장은 A사 대표를 불러 해명을 들으면서 담당자 등 다른 사람들은 모두 내보내기도 했다.

당시 해경의 또 다른 시스템을 관리하던 A사는 '프로그램을 잘못 실행해 발생한 사고'라고 해명했지만 감사원은 "전문가 등의 자문을 구한 결과 실수로 시스템의 데이터베이스에 접근해 전산자료를 삭제하는 것은 불가능한 것으로 판단된다"고 밝혔다.

특히 사고 발생 전 한 달 동안 유사한 시스템 무단 침입 및 장애 사고가 3차례나 추가로 발생했으나 해경에서 접근기록을 규정(6개월 이상 보관)에 맞게 관리하지 않아 원인이나 배후를 파악할 수 없었다.

감사원은 B계장에 대한 '정직' 등 관련자 2명의 징계를 요구했다.

◇아이핀 제도 허점 많아…행자부, 불법발급 사고 은폐도

행정자치부는 2015년 3월 산하 한국지역정보개발원에서 관리하는 공공아이핀 발급시스템을 통해 공공아이핀 75만건이 부정 발급되는 해킹사고가 발생하자 조사를 거쳐 사건 전말을 언론에 공개하고 관계부처 합동으로 재발방지 대책을 마련했다.

이 과정에서 행자부는 유사한 수법의 해킹을 통해 7만3177건의 공공아이핀 추가 부정 발급이 이뤄진 사실을 확인했다. 만 14세 미만 아동에 대한 법정대리인의 동의 확인시 법정대리인의 진위 여부를 알 수 없는 허점을 악용한 것이었다.

행자부 담당자들은 그러나 추가로 확인된 부정 발급건을 상부에 보고하는 등 절차를 밟지 않은 채 축소·은폐한 것은 물론 대책도 마련하지 않아 이후에도 8월 말까지 가짜 법정대리인을 통해 5300여개의 공공아이핀이 추가 발급됐다.

이에 감사원에서 만 14세 미만 아동 명의로 발급된 아이핀 132만5400여건에 대해 대법원 가족관계등록부를 조회한 결과 부모 등이 아닌 가짜 법정대리인이 아동 명의 아이핀 7만9200여건을 부정 발급받은 것으로 확인됐다.

또한 사망자에게 아이핀이 부정 발급되는 등 20만건의 부정 발급 추정 아이핀이 발견돼 아이핀 제도가 엉성하게 운영되는 것으로 나타났다.

아이핀(i-PIN)이란 인터넷상에서 주민등록번호를 대신해 본인임을 확인받을 수 있는 인증 방식이다. 정부는 주민등록번호의 유출과 오남용 방지를 위해 2006년 이 제도를 도입했다. 

한국지역정보개발원 등 아이핀 발급기관들이 2014년 1월~2015년 6월 발급된 아이핀 758만건을 점검한 결과 사망자에게 794건이 발급된 것을 비롯해 생전 발급됐으나 사망 후에도 사용된 1158건, 만 7세 이하자(18만6197건)나 80세 이상 고령자(1만4437건) 등 인터넷 취약층에 발급된 경우 등 모두 20만2500여개 아이핀의 대부분이 부정 발급돼 다른 사람이 사용하는 것으로 추정된다.

예를 들어 1928년생인 B씨의 명의로 2014년 5월 민간아이핀이 발급돼 청소년용 게임사이트 등 100여차례 본인 확인이 이뤄졌고, 심지어 사망 후에도 40여차례나 사용됐다.

2015년 2월 4살배기 명의로 발급된 공공아이핀은 육군군수사령부 사이트에서 11차례에 걸쳐 본인 확인을 하는 데 사용됐다. 구체적인 아이핀 이용목적은 확인되지 않았다.

아울러 한국인터넷진흥원은 아이핀을 불법 판매하는 608개 사이트를 확인하고도 직접 삭제할 권한이 없어 자진삭제 요청을 통해 259개(42.6%) 사이트에서만 이를 삭제토록 했고 나머지 349개 국내외 사이트에서는 여전히 아이핀이 불법 판매되고 있는 것으로 조사됐다.

◇정보보호 인력강화 '말로만'

2011년부터 정보보호 강화대책에 따라 40개 부처 정보보호 전담인력 124명을 증원했지만, 15개 부처에서는 44명을 증원키로 하고는 실제로 16명만 충원하고 28명은 충원하지 않거나 타부서 배치 또는 정보보호가 아닌 다른 업무를 맡기고 있었다.

또한 2011년 이후 정보보호 전담인력을 충원한 37개 부처의 94명 중 53명(56.4%)은 자격증이 없거나 경력이 모자라는 등 비전문 인력으로 채워졌다.

이에 따라 현재 40개 부처 정보보호 업무 담당자 186명 중 45.2%인 84명이 자격증 또는 학위가 없거나 경력이 2년 미만으로 전문성이 떨어졌다.

이와 함께 미래창조과학부는 2014년 7월 고용노동부의 '고용창출지원사업'을 활용해 정보보호 인력을 채용한 중소기업을 지원(1명당 월 90만원)하는 방안을 마련했으나, 미래부와 고용부간 세부사항 협의가 지연돼 1년 넘게 시행되지 못하는 일이 벌어졌다.

보건복지부는 2013년 의료기관이 건강보험심사평가원에 요양급여비용을 청구할 때 사용하는 청구소프트웨어 개발업체의 의료정보 유출 사건 발생시 청구소프트웨어를 통한 의료정보 유출 가능성을 확인하고도 대책을 마련하지 않은 것으로 나타났다.

이에 따라 2015년 다시 해당 업체 등 3개 업체를 통해 조제정보 43억건과 진료·처방정보 8억건 등 51억건의 환자 의료정보가 불법 수집·유출되는 사고가 발생했다.


true@