「구멍뚫린」 전자정부 바코드 확인만이 해법

대표적인 전자정부 서비스인 인터넷민원(G4C) 서비스가 허술한 보안 기능으로 인한 위ㆍ변조 가능성 문제 때문에 중단되는 사태가 벌어졌다.23일 행정자치부 국정감사에서 한나라당 권오을 의원은 "전자정부 서비스를 통해 인터넷으로 발급하는 민원서류가 쉽게 위ㆍ변조될 수 있다"고 지적하고, "중학생도 마음만 먹으면 위ㆍ변조를 할 수 있는 수준"이라고 꼬집었다. 이에 대해 오영교 행자부 장관은 금융기관에 제출하는 서류 등에 악용되는 것을 우려해 실무부서에 중단을 지시했다.◇1개월 가량 서비스 공백=이에 따라 대한민국전자정부 홈페이지(www.egov.go.kr)에서 발급 받을 수 있는 주민등록등ㆍ초본과 토지대장등본, 건축물대장 등ㆍ초본, 개별공시지가, 병적증명서 등 21종의 민원서류 발급이 전격 중단됐다. 지난 2003년 시작된 G4C 서비스가 중단된 것은 이번이 처음이다.행자부는 권 의원의 지적에 대응해 대책회의를 갖고, 위ㆍ변조를 차단할 수 있는 보안시스템 구축에 나서기로 했지만 시스템 구축이 마무리되려면 적어도 1개월 정도는 소요될 것으로 예상돼 서비스 중단상태가 당분간 지속될 전망이다.이날 국정감사에서 권 의원은 G4C 서비스를 통해 민원서류를 직접 위ㆍ변조하는 방법을 시연하면서, 온라인으로 발급 가능한 민원서류를 화면에 띄운 후 위ㆍ변조 전용 프로그램을 이용해 주민등록번호와 같은 글자를 바꿔 입력하는 방법을 보여줬다. 이와 같은 방법으로 수정된 내용이 화면이 표시되면 이를 그대로 출력하기만 하면 간단하게 위ㆍ변조가 가능한 것. 특히 여기에 쓰인 위ㆍ변조용 프로그램은 원래 보안 테스트용으로 개발된 외국산 프로그램으로, 이를 이용하면 각종 데이터 값을 수정할 수 있으며, 인터넷을 통해 쉽게 구할 수 있는 것으로 알려졌다.◇원인과 대책 무엇인가=권오을 의원측은 "행자부가 당초 민원서류 발급시스템을 만들 때 암호화 기술을 적용해야 했으나 이를 간과하는 바람에 위ㆍ변조에 무방비한 상태"라며 "이에 따라 타인명의 도용 등 광범위한 범죄에 노출돼 있다"고 말했다.한편 행자부는 문서의 발급번호 확인과 2차원 바코드로 위조를 방지할 수 있다고 했지만 지난 2003년 서비스 개시 이후 인터넷으로 발급된 257만여건 중 문서 확인건수는 1만3000여건으로 0.5%에 불과한 것으로 확인됐다. 또한 바코드 확인도 별도의 스캐너와 관련 프로그램을 갖춰야 하는 만큼 민원 현장에서 이뤄지지 않고 있다.보안분야 한 전문가는 "행자부의 인터넷 민원발급시스템은 사용자 편리성 때문에 보안기술이 강력한 수준으로 적용되지 않았다"며 "이는 보안성을 높이면 서버에 보다 많은 부하가 걸릴 뿐만 아니라 서비스 속도의 저하가 뒤따르는 등 한마디로 지금보다 불편해지기 때문에 범용성과 편리성을 위해 암호화 부분 일부를 빼 보안상의 구멍이 있는 상황"이라고 설명했다.◇바코드 확인이 근본 해결책=전문가들에 따르면 이 문제에 대한 단기적인 해결책은 암호화가 빠진 부분을 보완하는 것으로, 긴 기간이 걸리는 복잡한 작업은 아니다. 그러나 항상 새로운 공격시도가 나오기 때문에 보안기능으로 모든 공격시도를 막을 수는 없다는 게 문제다. 보안이라는 분야의 특성상 원천적으로 모든 것을 막을 수는 없다는 것이다.결국 근본적이고 `유일한' 해결책은 수령기관에서 문서에 찍혀있는 2차원 바코드를 확인하는 것이라는 게 전문가들의 설명이다. 행자부 사이트에 있는 검증 SW를 설치하고 스캐너로 2차원 바코드를 읽어 위ㆍ변조 여부를 판별하면 되는 것이다. 현재 제대로 이뤄지지 않고 있는 바코드 확인만이 보안문제를 원천적으로 해결할 수 있는 방법이라고 업계 한 관계자는 강조했다.