심재철 자유한국당 의원의 비인가 재정정보 유출 논란이 심 의원의 위법성이나 그가 공개한 청와대 업무추진비 등에 주목하던데서 정부의 정보관리라는 본질적 부분으로 초점이 이동하는 양상이다.
심 의원이 정보를 얻은 디지털예산회계시스템(디브레인·dBrain)과 재정분석시스템(올랩·OLAP)에 '백도어'(back door·비공개 접속 경로)가 존재할 가능성이 있다는 주장이 설득력을 얻으면서다.
17일 정치권에 따르면 기획재정위원회 국정감사에서 제기된 백도어 가능성에 여당 의원들을 중심으로 남은 국감 일정 동안 관련 의혹을 집중 추궁할 계획이다. 국가정보시스템 관리부실 문제로 확산될 경우 여권에도 미칠 파급력이 큰 만큼 선제적으로 의혹 규명에 나서는 것이 필요하다는 판단이다.
기재위 더불어민주당 간사인 김정우 의원은 "지금의 시스템 관리자인지, 이전의 시스템 개발자인지 백도어를 과연 누가 만들었느냐를 점검해야 한다"며 "그 다음에 그것을 과연 어떻게 심재철의원실 보좌진이 알게 됐느냐를 충분히 검토해야 된다"고 주장했다.
같은 당 강병원 의원은 "심재철 의원실이 전문가 도움을 받거나 한국재정정보원 내부인력과 공모했을 가능성이 커보인다"며 "검찰도 내부공모에 대한 합리적 의심에 이 방향으로 수사하고 있는 것으로 안다"고 주장했다.
전 날 기재위의 재정정보원 국감에서 심상정 정의당 의원은 심재철 의원실이 백스페이스를 두번 눌러 나타난 올랩 화면이 '관리자 모드' 화면이라고 주장했다. 국회의원이나 감사관실 권한이 아닌 '제3의 권한'으로 관리자 모드에서 보이는 최종 정보화면(인터페이스)에 접근했다는 것이다.
재정정보원도 비정상적인 접근을 통해서만 확인할 수 있는 관리자 모드라고 심상정 의원측에 답했다. 올랩 시스템 관리를 위해 관리자에 한해 필요시 접근하는 화면이라는 설명이다.
심상정 의원은 이 비정상적인 접근 경로를 개발자나 관리자가 만든 백도어가 아니면 해킹이라고 주장했다. 특히 민간 개발자나 관리자가 만든 백도어일 경우 삼성SDS 등 민간기업들이 국가정보를 무단취득했을 가능성과 유출에 따른 범죄이용 가능성까지 우려했다. 공교롭게도 현재 재정정보원에는 디브레인을 개발했던 삼성SDS 직원들이 운영본부장과 팀장직을 맡고 있다.
이와 관련, 삼성SDS 측은 "2014년 5월 운영사업 계약 종료 후 디지털예산회계시스템에 관련한 어떤 상황도 알지 못한다"며 "운영을 맡고 있을 때도 매년 보안감사를 받았던 시스템인 만큼 일부 제기되는 백도어 관련 의혹은 전혀 사실이 아니다"라고 밝혔다. 또 "개발 프로젝트 종료 시에도 정부로부터 보안, 권한 심사를 받기 때문에 문제가 있었다면 검수 확인과 사업 종료가 안됐을 것"이라고 덧붙였다.
재정정보원은 당초 "백도어를 통한 비인가자의 접속기록은 확인된 바 없다"는 입장이었으나 전날 자정 가까이 진행된 국감 막바지에 김재훈 재정정보원장은 "내가 알 수 없다. 수사를 해봐야 한다"며 백도어 존재 가능성을 부인하지 않았다.
사이버보안 업계에선 백도어 존재 가능성에 대한 의견이 적잖다. 서울 소재 한 보안업체 전문가 "백도어를 쉽게 생각하면 악성코드와 비슷한데 프로그램을 만든 소스코드에만 있는 게 아니고 소스코드를 프로그램으로 만드는 컴파일 과정에서도 백도어를 심을 수 있다"고 말했다.
재정정보원이 당초 올랩이 외부(민간)에서 접근이 차단된 폐쇄망(국가정보통신망)이라고 한데 대해 이 전문가는 "폐쇄망이라는 개념이 네트워크 선을 끊었다는 게 아니고 네트워크 망을 내부만 연결했다는 것이라 폐쇄망에서도 백도어는 네트워크를 열어줄 수 있다" 고 했다.
그는 "백도어에서 인가자처럼 접속로그를 남기게 처리할 수도 있고, 백도어를 어떻게 구현하느냐에 따라 얼마든지 가능하다"고 주장했다.
백도어 존재는 당국 수사를 통해 밝힐 수밖에 없지만 재정정보원 등 정부는 해당 시스템의 보안점검을 철저히 하지 못했다는 비판에 직면하게 됐다.
심상정 의원은 "재정정보원이 2016년 시스템을 인수할 때 점검을 안했다고 했는데 그 때 백도어가 만들어져 방치돼 왔다면 시스템 보안 무능을 넘어서는 문제"라고 지적했다. 유승희 민주당 의원도 "재정정보원의 보안점검 조직 예산이 21억원인데도 점검에 소홀해 백도어가 없다고 확정적으로 말하지 못한다"고 비판했다.
백도어 존재에 대한 수사 결과가 주목되지만 적지 않은 전문가들이 백도어 검증은 어려운 일이라고 말했다. 또 다른 보안업체 관계자는 "소스코드까지 점검해도 오타나 사용하지 않는 함수 등의 형태로 얼마든지 이식이 가능하다"며 "모래사막에서 바늘을 찾는 격"이라고 말했다.
그는 "정부가 발주하는 대부분의 소프트웨어는 국내 유수 SI(시스템통합) 업체들이 제작하는데 남품 후 백도어를 없애야 하지만 계속 남아 있을지 모른다"며 "그러나 그것을 다 조사하기는 어려울 것"이라고 덧붙였다.
한편, 백도어는 정상적인 시스템 인증 절차를 우회하는 방법으로 개발자나 관리자가 시스템에 손쉽게 접근하기 위해 고의적으로 만들어 놓은 비공개 원격 관리, 접속 기능이다. 전문가들에 따르면 백도어는 시스템에 출입 로그를 남기지 않고 조회와 작성이 가능한 '만능키'다.
심 의원이 정보를 얻은 디지털예산회계시스템(디브레인·dBrain)과 재정분석시스템(올랩·OLAP)에 '백도어'(back door·비공개 접속 경로)가 존재할 가능성이 있다는 주장이 설득력을 얻으면서다.
17일 정치권에 따르면 기획재정위원회 국정감사에서 제기된 백도어 가능성에 여당 의원들을 중심으로 남은 국감 일정 동안 관련 의혹을 집중 추궁할 계획이다. 국가정보시스템 관리부실 문제로 확산될 경우 여권에도 미칠 파급력이 큰 만큼 선제적으로 의혹 규명에 나서는 것이 필요하다는 판단이다.
기재위 더불어민주당 간사인 김정우 의원은 "지금의 시스템 관리자인지, 이전의 시스템 개발자인지 백도어를 과연 누가 만들었느냐를 점검해야 한다"며 "그 다음에 그것을 과연 어떻게 심재철의원실 보좌진이 알게 됐느냐를 충분히 검토해야 된다"고 주장했다.
같은 당 강병원 의원은 "심재철 의원실이 전문가 도움을 받거나 한국재정정보원 내부인력과 공모했을 가능성이 커보인다"며 "검찰도 내부공모에 대한 합리적 의심에 이 방향으로 수사하고 있는 것으로 안다"고 주장했다.
전 날 기재위의 재정정보원 국감에서 심상정 정의당 의원은 심재철 의원실이 백스페이스를 두번 눌러 나타난 올랩 화면이 '관리자 모드' 화면이라고 주장했다. 국회의원이나 감사관실 권한이 아닌 '제3의 권한'으로 관리자 모드에서 보이는 최종 정보화면(인터페이스)에 접근했다는 것이다.
재정정보원도 비정상적인 접근을 통해서만 확인할 수 있는 관리자 모드라고 심상정 의원측에 답했다. 올랩 시스템 관리를 위해 관리자에 한해 필요시 접근하는 화면이라는 설명이다.
심상정 의원은 이 비정상적인 접근 경로를 개발자나 관리자가 만든 백도어가 아니면 해킹이라고 주장했다. 특히 민간 개발자나 관리자가 만든 백도어일 경우 삼성SDS 등 민간기업들이 국가정보를 무단취득했을 가능성과 유출에 따른 범죄이용 가능성까지 우려했다. 공교롭게도 현재 재정정보원에는 디브레인을 개발했던 삼성SDS 직원들이 운영본부장과 팀장직을 맡고 있다.
이와 관련, 삼성SDS 측은 "2014년 5월 운영사업 계약 종료 후 디지털예산회계시스템에 관련한 어떤 상황도 알지 못한다"며 "운영을 맡고 있을 때도 매년 보안감사를 받았던 시스템인 만큼 일부 제기되는 백도어 관련 의혹은 전혀 사실이 아니다"라고 밝혔다. 또 "개발 프로젝트 종료 시에도 정부로부터 보안, 권한 심사를 받기 때문에 문제가 있었다면 검수 확인과 사업 종료가 안됐을 것"이라고 덧붙였다.
재정정보원은 당초 "백도어를 통한 비인가자의 접속기록은 확인된 바 없다"는 입장이었으나 전날 자정 가까이 진행된 국감 막바지에 김재훈 재정정보원장은 "내가 알 수 없다. 수사를 해봐야 한다"며 백도어 존재 가능성을 부인하지 않았다.
사이버보안 업계에선 백도어 존재 가능성에 대한 의견이 적잖다. 서울 소재 한 보안업체 전문가 "백도어를 쉽게 생각하면 악성코드와 비슷한데 프로그램을 만든 소스코드에만 있는 게 아니고 소스코드를 프로그램으로 만드는 컴파일 과정에서도 백도어를 심을 수 있다"고 말했다.
재정정보원이 당초 올랩이 외부(민간)에서 접근이 차단된 폐쇄망(국가정보통신망)이라고 한데 대해 이 전문가는 "폐쇄망이라는 개념이 네트워크 선을 끊었다는 게 아니고 네트워크 망을 내부만 연결했다는 것이라 폐쇄망에서도 백도어는 네트워크를 열어줄 수 있다" 고 했다.
그는 "백도어에서 인가자처럼 접속로그를 남기게 처리할 수도 있고, 백도어를 어떻게 구현하느냐에 따라 얼마든지 가능하다"고 주장했다.
백도어 존재는 당국 수사를 통해 밝힐 수밖에 없지만 재정정보원 등 정부는 해당 시스템의 보안점검을 철저히 하지 못했다는 비판에 직면하게 됐다.
심상정 의원은 "재정정보원이 2016년 시스템을 인수할 때 점검을 안했다고 했는데 그 때 백도어가 만들어져 방치돼 왔다면 시스템 보안 무능을 넘어서는 문제"라고 지적했다. 유승희 민주당 의원도 "재정정보원의 보안점검 조직 예산이 21억원인데도 점검에 소홀해 백도어가 없다고 확정적으로 말하지 못한다"고 비판했다.
백도어 존재에 대한 수사 결과가 주목되지만 적지 않은 전문가들이 백도어 검증은 어려운 일이라고 말했다. 또 다른 보안업체 관계자는 "소스코드까지 점검해도 오타나 사용하지 않는 함수 등의 형태로 얼마든지 이식이 가능하다"며 "모래사막에서 바늘을 찾는 격"이라고 말했다.
그는 "정부가 발주하는 대부분의 소프트웨어는 국내 유수 SI(시스템통합) 업체들이 제작하는데 남품 후 백도어를 없애야 하지만 계속 남아 있을지 모른다"며 "그러나 그것을 다 조사하기는 어려울 것"이라고 덧붙였다.
한편, 백도어는 정상적인 시스템 인증 절차를 우회하는 방법으로 개발자나 관리자가 시스템에 손쉽게 접근하기 위해 고의적으로 만들어 놓은 비공개 원격 관리, 접속 기능이다. 전문가들에 따르면 백도어는 시스템에 출입 로그를 남기지 않고 조회와 작성이 가능한 '만능키'다.
http://news.mt.co.kr/mtview.php?no=2018101715577651483
|
