[시선집중] 법원 해킹 논란에... 김승주 "민간 기업이 털렸다면 엄청난 과징금 물었을 것"

<김승주 고려대 정보보호대학원 교수>
- 北, 특별한 고난이도 기술로 해킹한 거 아냐
- 침투 시기 명확하지 않아. 얼마나 털렸는지도 몰라
- 털린 서버에 탈북민-성폭력 피해자 신상- 주요 산업정보도 포함
- 극단적 망 분리, 내부 직원 나태함 불러.. 특정 비번 돌려 쓰는 경우도
- 정부나 공공기관은 왜 보안총괄책임자를 고위직에 두지 않나
- 사이버안보법 있었어도 못 막아.,. 국정원-안보실 ‘권한’만 명시

■ 방송 : MBC 라디오 표준FM 95.9MHz <김종배의 시선집중>(07:05~08:30)
■ 진행 : 김종배 시사평론가
■ 대담 : 김승주 고려대 정보보호대학원 교수

☏ 진행자 > 북한의 해킹 조직이 법원행정처 전산망을 해킹해서 1천 기가바이트가 넘는 자료를 빼간 사실이 국가수사본부의 수사 결과를 통해서 뒤늦게 드러났다고 합니다. 또다시 국가행정망에 구멍이 뚫린 건데요. 전문가 연결해서 진단해보도록 하겠습니다. 고려대 정보보호대학원의 김승주 교수 연결합니다. 나와 계시죠?

☏ 김승주 > 네, 안녕하십니까?

☏ 진행자 > 이번 사건의 본질을 어떻게 규정을 해야 되는 겁니까?

☏ 김승주 > 일단은 북한에서 비롯된 해킹 사고라고 보시면 되고요. 근데 여기서 주의할 것은 우리가 북한이 해킹했다 그러면 굉장히 무슨 고난이도의 기술을 써서 뚫렸으니까 못 막았을 거야 이해가 된다 이렇게 생각하는 경향이 있습니다.

☏ 진행자 > 그게 아니에요?

☏ 김승주 > 그런데 사실은 북한이 해킹한다고 그래서 항상 고난이도의 기술을 쓰는 건 아니거든요. 제가 보기에는 특별한 기술이 사용됐다기보다는 내부 직원들의 어떤 보안의식이 나태해졌고 그 다음에 민간과는 다르게 보안총괄책임자가 없고 그런 여러 가지 상황들이 복합적으로 작용한 게 아닌가 그렇게 봅니다.

☏ 진행자 > 근데 일단 해킹이 있었던 시점이 언제예요?

☏ 김승주 > 지금 사실은 명확하지가 않습니다. 일단은 2021년 1월 이전부터 침투했던 것 같다. 2년 훨씬 더 전에 침투했던 것 같다 이렇게만 추측하고 있을 뿐.

☏ 진행자 > 2021년 1월이면 3년 전 얘기라는 건데요.

☏ 김승주 > 그렇죠. 그런데 여러 가지 시간이 많이 지났기 때문에 관련 자료들이 충분히 있지 않아서 명확한 피해 정도라든가 아니면 처음에 침투했던 시점 이런 것들은 명확히 밝혀지지 않고 있습니다.

☏ 진행자 > 어느 기간 동안에 어느 정도나 털린 건지도 지금 모른다라는 거죠.

☏ 김승주 > 그렇죠. 지금 일단 나온 것은 한 A4용지 26억 장 규모의 데이터가 유출된 것 같다.

☏ 진행자 > 그러면 분량은 어떤 계산법으로 나오게 된 겁니까?

☏ 김승주 > 예를 들어 전체 시스템 자료들이 있으니까 보통 어떤 시스템들이 영향을 받았다 이런 데이터들은 나오거든요. 그러면 하나의 시스템에서 처리되는 데이터양이 몇 개고 그런 식으로 산술적으로 계산해 보면 전체 데이터양은 나오고요.

☏ 진행자 > 그 정도 수준에서 추산.

☏ 김승주 > 그렇죠. 근데 문제는 A4용지 26억 장 규모가 유출된 것 같긴 한데 그럼 유출된 자료의 내용이 뭐냐 이게 중요하지 않습니까?

☏ 진행자 > 그렇죠.

☏ 김승주 > 그런데 전체 중에서 파악된 건 0.5% 정도밖에는 파악이 안 됐습니다. 그래서 이 0.5%를 봤더니 금융정보 의료진단서정보 이런 게 있더라, 그런데 나머지 파악 안 된 99.5% 안에는 어떤 것들이 있는지 모르겠다.

☏ 진행자 > 법원행정처에서 해킹한 거라고 한다면 재판기록이 가장 기본이라고 봐야 되는 거고.

☏ 김승주 > 이게 기본적으로 어떤 정보들이 있냐 하면요. 일단은 유출이 확인된 문서는 진단서라든가 혼인관계증명서, 주민번호, 채무자료 이런 것들이 일단 유출이 확인된 문서고요. 그런데 이걸 법원전산망에 보관된 자료들은 뭐가 있는가, 이렇게 넓혀서 보면 데이터 외에도 탈북민이라든가 성폭력 피해자 개인정보들도 들어가 있고요. 그 다음에 특허 등 산업 주요정보 이런 것들도 들어가 있습니다.

☏ 진행자 > 북한이 이걸 가지고 어떻게 악용할지 아무도 가늠이 안 되는 상황이네요. 그러면. 그런데 이게 왜 이제야 알려지게 된 겁니까?

☏ 김승주 > 아까 제가 말씀드렸듯이 이번에 사고 원인은 북한이 아주 고난이도의 기술을 통해서 해킹을 했다라기보다는 내부 직원의 보안 의식이 나태해지지 않았나.

☏ 진행자 > 어떤 식으로 관리를 해왔는데요.

☏ 김승주 > 일단은 모든 정부 부처들, 또 공공기관들은 망 분리라고 하는 걸 합니다. 이 망 분리라고 하는 건 모든 전산 컴퓨터 시스템을 인터넷과 분리시켜놓으라는 얘기입니다.

☏ 진행자 > 외부하고 연결되는 거하고 내부에서만 쓰는 걸 나눠버리는 거잖아요.

☏ 김승주 > 그렇죠. 그리고 인터넷 검색용PC는 따로 있어서 거기서만 인터넷 검색을 할 수 있도록 하고 있거든요. 그런데 사실은 이렇게 극단적인 형태의 망 분리를 하는 건 우리나라밖에는 없습니다.

☏ 진행자 > 오히려 그게 문제라는 거예요? 그러면.

☏ 김승주 > 왜냐하면 이렇게 극단적인 형태의 망 분리, 이런 극단적인 형태의 정보보호를 하게 되면 내부자들은 우리는 인터넷과 연결돼 있지 않기 때문에 안전해, 이러면서 보안의식이 나태해지는 문제를 초래합니다.

☏ 진행자 > 쉽게 하면 안일해져 버린다.

☏ 김승주 > 그렇죠. 그래서 한 번 뚫리면 데이터가 왕창 노출되는 문제가 생기거든요. 이게 뭐랑 똑같냐 하면 비밀번호를 한 달마다 바꾸십시오, 이렇게 보안정책을 세워놓으면 비밀번호 한 세 개를 정해놓고 그걸 돌려가면서 쓰거든요. 이래서 많은 보안전문가들이 너무나도 극단적인 보안정책은 오히려 보안의식을 나태하게 해서 문제를 일으킬 수 있다 이 지적을 사실 계속해 왔었습니다.

☏ 진행자 > 한마디로 말 그대로 흔히 쓰는 기강해이네요. 그러면.

☏ 김승주 > 그렇죠.

☏ 진행자 > 일부 계정은 아예 6년 넘게 비밀번호를 바꾸지 않았다고 하던데 극단적인 사례네요. 이런 게.

☏ 김승주 > 그렇죠. 이런 모든 것들을 비춰봤을 때 극단적인 보안정책이 오히려 내부자의 보안의식을 나태하게 만들었다는 게 제가 보기에는 첫 번째 이유 같고요. 두 번째가 보통 민간업체에는 임원급으로 보안총괄책임자를 두도록 돼 있습니다. 우리가 그걸 CISO 이렇게 얘기하거든요. 그런데 공공기관이나 정부기관에서는 이런 보안총괄책임자를 고위공직자로 두지 않고 있습니다. 그래서 항상 문제가 됐거든요. 왜 정부기관하고 민간이 차이가 나느냐. 그래서 정부기관도 똑같이 고위공직자한테 권한과 책임을 줘야 된다. 그래야 이런 어떤 보안조치들을 확실하게 할 수 있다 이런 얘기들이 계속 제기돼 왔었고 사실은 법안추진을 굉장히 오래전부터 해왔었는데 이게 번번이 실패했습니다. 이번 기회에 사실은 보안총괄책임자를 두는 문제도 한번 진지하게 고민을 해볼 필요가 있습니다.

☏ 진행자 > 근데 일각에서는 이참에 사이버안보법 만들어야 된다, 이런 목소리 나오는데 이건 어떻게 생각하세요?

☏ 김승주 > 물론 그런 얘기도 있죠. 사이버안보기본법이라고. 그런데 사실은 저는 일단 개인적으로 사이버안보기본법을 제정했다고 해도 이번 사태는 못 막았다라고 저는 봅니다.

☏ 진행자 > 그래요.

☏ 김승주 > 저는 일단은 사이버안보기본법을 만드는 취지 자체는 찬성을 합니다. 왜냐하면 그동안 국가정보원이 해왔던 여러 가지 암묵적인 정보보호 활동이 있거든요. 이걸 투명하게 법제화시키겠다는 게 사이버안보기본법입니다. 그래서 그 취지는 저는 찬성하고요. 그런데 문제는 이 사이버안보기본법에는 국가정보원이나 국가안보실 이런 주요 기관들의 권한에 대해서 명확하게 정의하고 있습니다. 근데 문제가 생겼을 때 책임을 묻는 조항이 없어요. 권한이 주어졌으면 책임이 따라야 되거든요.

☏ 진행자 > 당연하죠.

☏ 김승주 > 그래서 그런 부분이 없기 때문에 조금 미흡하지 않지 않나. 그래서 제가 이 법안이 만들어져도 책임지는 사람은 없기 때문에 이런 문제는 생겼을 거다라고 저는 생각합니다.

☏ 진행자 > 총론 찬성, 각론 보완 이런 말씀이신 거예요. 법원 같은 경우는 재판기록 이런 것들을 공개를 할 때 비실명화라고 해가지고 사람의 실명이라든지 신상정보는 가리고 공개하지 않습니까? 인권의 문제도 있고 프라이버시 문제도 있는 건데 이렇게 털려버리면 이건 사법부가 당연히 책임을 져야 되는 거 아닌가요?

☏ 김승주 > 그렇죠. 여태까지 쭉 보셨지만 우리 계속해서 전자정부 시스템도 계속 먹통 되고 보안사고도 계속 나지 않습니까? 한 번도 책임자가 나오질 않았잖아요. 사실은 이게 계속 반복되고 있기 때문에 책임지는 사람이 안 나오는데 어떻게 개선이 되겠습니까?

☏ 진행자 > 그러네요. 저번에 정부 행정전산망 먹통일 때도 누구도 책임을 안 졌어요? 그때도.

☏ 김승주 > 그렇죠. 근데 만약에 업체였다라면 또 이번 사고가 만약에 기업에서 발생한 거였더라면 엄청난 과징금을 물어냈을 거고 대표이사까지도 책임을 질 수 있거든요. 예를 들어 민간업체에서 개인정보 유출 사고가 나면 총 매출의 3% 금액을 과징금으로 부과합니다.

☏ 진행자 > 그러니까요.

☏ 김승주 > 그런데 공공기관에 이런 과징금을 부과할 수는 없거든요. 근데 과징금을 부과할 수도 없는데 책임자도 없으니까 나태해지는 거죠.

☏ 진행자 > 오히려 국민 신상정보를 거기가 더 많이 갖고 있는데.

☏ 김승주 > 맞습니다.

☏ 진행자 > 알겠습니다. 오늘 말씀 여기까지 들어야 될 것 같네요. 고맙습니다. 교수님.

☏ 김승주 > 네, 감사합니다.

☏ 진행자 > 고려대 정보보호대학원의 김승주 교수였습니다.

[내용 인용 시 MBC <김종배의 시선집중>과의 인터뷰 내용임을 밝혀주시기 바랍니다.]