백스페이스 두 번도 해킹은 해킹
  • 인쇄
  • |
  • 목록
  • |
  • 복사하기
  • 페이스북
  • 트위터
  • 밴드

심재철 의원, 시스템 취약점 이용해 허용 권한 넘는 디브레인 자료 접근

해킹이란 무엇인가. 비전문가에게 해킹은 수준 높은 컴퓨터 관련 지식을 갖고 있는 사람만이 할 수 있는 어떤 특별한 행위다. 평범한 사람은 해킹을 하고 싶어도 할 수 없는 것처럼 느껴진다.

10월 2일 국회 대정부 질문에서 심재철 자유한국당 의원이 김동연 경제부총리에게 질문하고 있다.  / 권호욱 기자

10월 2일 국회 대정부 질문에서 심재철 자유한국당 의원이 김동연 경제부총리에게 질문하고 있다. / 권호욱 기자

심재철 자유한국당 의원의 인식도 평범한 수준이었다. 10월 2일 국회 대정부 질문에서 심 의원은 디지털예산회계시스템(dBrain·디브레인)에서 자신이 국회의원실 권한으로는 접근할 수 없는 자료에 접근한 방법을 시연한 동영상을 틀었다. 동영상에는 심 의원이 재정정보시스템 검색창에서 직접 백스페이스 키를 두 번 눌러 권한 외 자료에 접근하는 모습이 담겨 있었다. 심 의원은 “제 보좌진들은 해킹 등 전혀 불법적인 방법을 쓰지 않았다”며 당당한 목소리로 말했다.

“어떤 시스템이라도 버그는 있을 수 있어”
보안 전문가들이 생각하는 ‘해킹’은 심 의원이 생각하는 ‘해킹’과는 달랐다. 물론 일반 대중의 생각처럼 복잡한 기술을 필요로 하는 해킹도 있다. 하지만 심 의원의 해킹은 디브레인 시스템 상의 취약점을 이용한 경우다. 수준 높은 컴퓨터 관련 지식이 없는 일반인도 충분히 재연할 수 있는 수준이다.

김승주 고려대 정보보호대학원 교수는 불법적인 툴을 쓴 경우만 해킹이라는 인식은 잘못된 것이라고 말했다. 그는 “어떤 시스템이라도 버그는 있을 수 있다. 버그가 존재하는 한 그걸 악용할 수가 있는데, 쉽게 발견되는 버그는 악용하는 방법도 쉽다. 반면 발견하기 어려운 버그를 이용하려면 복잡한 해킹툴이 필요한 것”이라고 말했다.

김승주 교수는 해커를 지망하는 젊은 사람들 사이에서는 비전문가들도 충분히 할 수 있는 수준의 해킹도 많이 일어나고 있다고 설명했다.

전문가들은 심재철 의원실의 해킹과 형태가 비슷했던 사례로 에드워드 스노든을 꼽는다. 미국 국가안보국 직원이었던 스노든은 미국의 국가 감시체계를 폭로하기 위해 국가안보국의 자료 170만여건을 갖고 러시아로 망명했다. 스노든의 해킹 역시 시스템 내부에서 벌어진 일이며, 웹크롤러(자동으로 인터넷 링크의 자료를 수집하는 프로그램)라는 단순한 프로그램을 이용한 것이라는 점에서 심재철 의원실의 해킹과 비슷하다. 다만 스노든은 해킹한 자료를 통해 미국의 전자감시체제인 프리즘의 실체를 폭로했다는 점에서 공익성 면에서는 심재철 의원실의 해킹과 큰 차이가 있다.

김승주 교수는 정보통신망법 58조 1항에 “누구든 허용된 접근권한을 넘어 정보통신망에 침입해서는 안 된다”고 쓰여 있다는 점을 강조했다. 그는 “심재철 의원실이 자신의 권한을 넘어선 자료에 들어갔을 때 고의성이 있었는지, 해킹툴을 썼는지 여부는 전혀 상관이 없다. 자신에게 허용된 권한을 넘은 것 자체가 해킹이다”라고 말했다.

디브레인을 운영하고 있는 한국재정정보원도 일단은 심재철 의원실이 불법적인 툴을 사용했는지 여부는 밝히지 못하고 있다. 재정정보원의 설명에 따르면 디브레인에는 하루 평균 1만6000여명이 접속해 51만여건의 예산 지출건이 처리되고 있다. 이체규모만 하루 8조원 수준이다.

심재철 의원실이 다운받은 자료는 디브레인 내의 재정분석시스템 자료다. 재정분석시스템은 각 부처 공무원들이 만든 예산 자료를 바탕으로 여러 가지 예산정책에 참고할 수 있는 통계자료 등을 보여주는 시스템이다. 국회의원실, 일반 공무원 등 접근 권한에 따라 애초에 로그인 화면이 다르다는 게 재정정보원의 설명이다. 즉, 애초 의원실용 계정으로는 다른 계정에 어떤 자료가 담겨 있는지 알 수조차 없다는 것이다.

‘백스페이스 키 두 번’ 우연일까
재정정보원은 심재철 의원실의 해킹을 인지한 9월 12일 이후 심 의원실에서 사용한 3개 계정의 로그파일을 분석했다. 현재까지는 심 의원이 국회 대정부 질문에서 동영상으로 보인 설명 자체는 거짓이 아니라는 게 재정정보원의 설명이다. 재정정보원은 로그파일을 분석한 결과 심 의원실 계정에서 9월 3일 디베이스에 정상적으로 접속해 예산배정 화면에서 백스페이스 키를 두 번 눌러 의원실 계정의 권한으로는 볼 수 없는 자료가 담긴 뉴루트 폴더에 접근한 것을 확인했다고 설명했다.

재정정보원은 애초에 ‘백스페이스 키 두 번’을 심재철 의원실이 어떻게 알았는지 의구심을 갖고 있다. 재정정보원 관계자는 “정말 우연히 뉴루트 폴더에 들어간 게 맞다고 해도 두 번째 접속부터는 분명히 알면서도 고의로 비인가 자료에 접근한 것이다. 의원실에서 ‘우연히’ 들어간 방법을 어떻게 알게 됐는지 사법당국이 밝혀주길 바란다”고 말했다.

심재철 의원실이 ‘백스페이스 키 두 번’을 우연히 발견한 게 아닐 수도 있다. 시스템 취약점을 공략하는 노하우가 있는 이의 도움을 받았을 수 있다는 의견도 있다. 부산 등지에서 오랫동안 민간조사원으로 활동해온 이진환씨(가명)는 기자와의 통화에서 정치권과 연계되어 활동하는 해커들이 존재한다고 말했다. 이씨는 “원로급 흥신소와 연결된 분들 중에서는 정치권에서 이용하기도 하고 정치권을 통해 돈을 만드는 사람들도 있다”고 말했다.

9월 21일 검찰 직원들이 비공개 예산정보 유출 혐의로 심재철 자유한국당 의원실을 압수수색하자 심 의원의 보좌진들이 과정을 지켜보고 있다.  / 권호욱 기자

9월 21일 검찰 직원들이 비공개 예산정보 유출 혐의로 심재철 자유한국당 의원실을 압수수색하자 심 의원의 보좌진들이 과정을 지켜보고 있다. / 권호욱 기자

그는 2011년 10월 26일 서울시장 보궐선거 당시 중앙선관위 디도스 공격 사태를 언급했다. 이날 오전 9시부터 12시까지 중앙선관위 홈페이지에 디도스 공격이 가해져 일반인들이 변경된 투표소를 찾는 데 어려움을 겪었다. 검·경은 박희태 당시 국회의장의 전 비서 등 5명을 조사했지만 결국 최구식 의원의 전직 비서 1명만 사법처리되는 데 그쳤다. 이씨는 “그때도 이쪽 업계에서는 실제 작업한 사람은 따로 있을 것이라는 말들이 무성했지만 실제로 디도스 프로그램을 만든 사람은 못 잡은 거 아니냐. 이렇게 음지에서 활동하면서 합법과 불법의 경계에 있는 일들을 하는 사람들이 있다”며 “저처럼 오랫동안 민간조사원 일을 하고 싶은 사람은 합법적인 방식으로만 일한다”고 말했다.

이씨와 같은 민간조사원들은 모든 일을 혼자 다 하지 않는다. 자신의 능력이 모자라는 부분에 대해서는 특정 분야의 전문가들과 손을 잡고 일하기도 한다. 이씨는 중국 등 해외에 기반을 둔 커뮤니티에서 이런 ‘전문가’들을 만날 수 있다고 말했다. 그는 “경쟁 핸드폰 가게의 고객정보도 금세 빼낼 수 있었던 10여년 전보다는 어려워졌다고는 하나, 여전히 원격조종 등을 통해 휴대전화 도청, 메신저 확인을 할 수 있다며 물건을 팔겠다는 해커들이 중국 커뮤니티에 글을 올리고 한다. 사기꾼들도 있지만 진짜도 많다. 쉽게 잡을 수는 없겠지만 의원실에서 이런 이들과도 접촉이 있었는지에 대해서도 수사해야 한다”고 말했다.

“정부 시스템의 보안 강화해야”
한편, 재정정보원의 자료 관리가 허술한 것 아니냐는 지적도 있다. 중소기업에서 서버 관리자로 일하고 있는 ㄱ씨는 “비인가 폴더에 비밀번호가 걸려 있었다면 심재철 의원실에서 자료 접근에 성공했더라도 다운로드는 받지 못했을 것”이라고 말했다.

재정정보원에서도 이번과 같은 ‘내부 해킹’에 대한 대비는 취약했다고 인정하고 있다. 그동안 재정정보원은 재정정보시스템의 활용도를 높이기 위해 국회에만 600개 이상의 계정을 만들었다고 설명했다. 이런 이유로 9월 3일 이후 심재철 의원실에서 추가 계정을 신청했을 때도 신속히 발급해준 것이다. 재정정보원 관계자는 “지난 12년간 외부의 해킹 시도에 시스템이 뚫린 적이 한 번도 없다. 더구나 내부 칸막이를 이렇게 넘나드는 일은 없었다”며 “일단 정상적으로 로그인한 아이디가 무슨 활동을 하는지 실시간으로 감지하는 것이 현실적으로 쉽지는 않다”고 말했다.

김승주 교수는 보안을 강화하면 활용도가 떨어지는 현실적인 문제도 있다고 지적했다. 그는 “일정 권한 이상의 파일이나 폴더에 전부 추가 암호를 설정할 수도 있고, 접속한 계정의 활동을 실시간으로 모니터링할 수도 있다. 하지만 의원실 활동에 대한 감시 논란이 있을 수도 있고, 이용하라고 만들어 놓은 시스템인데 보안장치가 많으면 활용도가 떨어질 수밖에 없다”고 말했다.

김용대 카이스트 전기·전자공학부 교수는 현행 정보통신망법을 고쳐 외부에서도 시스템의 취약점을 개선할 수 있도록 해야 한다고 말했다. 김용대 교수는 “백스페이스 두 번으로 비인가 자료가 뚫릴 정도라면 시스템 구현에 심각한 문제점이 있는 것이다. 하지만 정보통신망법 48조 3항 때문에 기관에서 먼저 요청하지 않는 이상 외부의 전문가들이 취약점이 무엇인지 알아낼 방법이 없다”고 말했다.

정보통신망법 48조 3항은 망의 운영을 해할 목적으로 대량의 데이터를 보내는 등 망에 장애를 일으켜서는 안 된다고 규정하고 있다. 화이트 해커(개선 목적으로 보안 취약점을 발견하는 컴퓨터 전문가)들이 정부기관 네트워크의 보안 취약점을 알아보려고 시도만 해도 법적 조치를 받을 수 있다는 게 김용대 교수의 설명이다.

그는 외부 전문가들이 보안 취약점 개선을 목적으로 네트워크에 접속하는 것에 대해서는 법적인 처벌을 받지 않도록 정보통신망법이 개정돼야 한다고 말했다. 일정 기준을 만족하는 외부 전문가들이 정해진 절차를 밟아 일상적으로 시스템의 취약점을 감시한다면 시스템의 보안이 한층 강화될 것이라는 이야기다.

김용대 교수는 “심재철 의원실 해킹의 불법성도 분명히 이야기해야 하지만, 이번 일로 정부 시스템의 보안 허점도 드러났다. 특히 정부가 운영하는 시스템은 취약점 점검을 의무화하게 하는 등 정부 시스템의 보안이 강화되는 방향으로 결론이 나야 한다”고 말했다.

<백철 기자 pudmaker@kyunghyang.com>

바로가기

이미지