기획재정부 디브레인, 노출인가 해킹인가

보안전문가들, 해킹이다 VS 단정어렵다

컴퓨팅입력 :2018/10/03 09:29    수정: 2018/10/03 09:32

정치권에서 기획재정부 산하기관의 전산시스템 '디브레인'을 통해 재정정보를 취득한 심재철 국회의원의 행위를 놓고 적법성 및 해킹 시비가 불거졌다. 해당 국회의원실에서는 정상적인 권한과 접속 절차를 활용한만큼 문제될 게 없다는 입장이다. 반면 정부 측에선 접근 권한이 없는 의원실이 불법적으로 자료를 외부 유출하고 공개했다고 판단, 의원과 보좌진을 검찰 고발한 상황이다.

디브레인은 기획재정부 산하 한국재정정보원이 운영관리하는 디지털 예산회계시스템이다. 디브레인을 구성하는 여러 시스템 중 재정분석시스템(OLAP)이라는 게 있다. 국가전반의 재정정보를 모아서 비정형적 재정정보를 사용자 필요에 의해 검색할 수 있는 다차원분석시스템이다. 기획재정부는 여기서 정보통신망법과 전자정부법 위반에 해당하는 불법행위 즉 해킹과 행정정보 무단유출이 발생했다고 판단했다.

심재철 국회의원실에서 기획재정부 한국재정정보원의 디지털예산회계시스템 디브레인을 통해 해킹으로 비인가 재정정보를 취득했다는 논란이 일고 있다. [사진=Pixabay]

국회 기획재정위원회 소속 자유한국당 심재철 의원 측이 밝힌 재정정보 취득과정은 이렇게 진행됐다. 먼저 국회 업무용 PC에 기본 설치된 프로그램을 통해 의원실이 보유한 ID로 디브레인에 접속한다. 화면에서 재정분석시스템 항목으로 들어간다. 그중 '복합통계 OLAP'을 연다. 메뉴 중 '예산배정'을 띄우고 '예산변경현황' 화면을 연다. 문제의 OLAP 영역은 이후 단계부터다.

해당 화면에서 '예산배정현황'을 선택하고, 부처 및 관련 키워드 등으로 검색 조건을 입력할 수 있다. 검색 결과가 없을 경우, 조건을 재입력하라는 메시지가 뜬다. 이 때 백스페이스 키를 2번 입력하면 새로운 파일이 담긴 폴더가 표시된다. 이 위치에서 '재정집행실적' 등 부처별 예산집행내역이 세부항목까지 등재된 자료를 열람하고 내려받을 수 있었다. 이 방식은 기획재정부에서 차단해 더 이상 유효하지 않다.

이렇게 원래 접근이 허용되지 않는 정보를 특별한 침입 시도가 아닌 시스템상의 문제로라도 열람하고 취득할 수 있었다면 그 행위를 해킹으로 봐야할까. 여러 국내 보안분야 산업계와 학계 전문가들에게 문의한 결과, 동일한 사안에 대한 의견이 분분했다. 결함을 방치한 시스템 관리주체에 우선 책임이 있다는 견해와, 현행 정보통신망법상 포괄적으로 설정된 해킹 범주에 드는 게 맞다는 견해가 모두 나왔다.

디지털예산회계시스템 디브레인 전체 구성도. [자료=기획재정부]

다만 디브레인에서 문제가 되고 있는 OLAP 시스템은 일반적으로 공공부문 담당자와 관련 실무자들만 접근하고 이용할 수 있는 환경이고 대국민서비스로 운영되지 않는다. 보안전문가들이 한국재정정보원 디브레인 시스템의 구성 및 이용방식과 심재철의원실에서 그 재정정보를 취득한 조건과 과정을 온전히 이해한다면 이들의 의견은 달라질 수도 있다.

■ 보안전문가들 사이에서도 "해킹이다", "단정하기 어렵다" 분분

국내 대형 보안업체 소속 연구원 A씨는 "한국 법은 포트스캐닝(port scanning)도 해킹으로 (간주)된다"면서 "법은 잘 모르지만 현행법상 해킹이 맞을 것"이라고 언급했다. 포트스캐닝은 네트워크의 호스트 시스템에서 열려 있는 '포트'와 작동 중인 서비스를 식별할 때 쓰는 기법을 뜻한다. 이는 보안 전문가가 컴퓨터에서 보안취약점을 찾아 낼 때 쓰이지만, 해커가 그 표적을 노릴 때도 쓰인다.

반면 다국적 IT업체의 국내 보안부문 기술전문가 B씨는 "웹브라우저라면 백스페이스를 두 번 누르는 입력은 이미 방문한 웹페이지의 열람 이력에 접근하는 것으로, 이상한 조작은 아니다"라며 "그걸로 허용돼선 안 되는 정보가 노출된다는 것 자체가 문제고, 이는 그 시스템이 허술하게 만들어졌을 수 있다는 얘기"라고 언급했다. 시스템 관리 부실로 노출된 정보의 취득을 해킹이라 단정하긴 어렵다는 입장이다.

그런데 국내 보안인증 기술전문 스타트업 대표 C씨는 "백스페이스 두 번 눌러서 비인가정보가 노출된 건 그 시스템이 잘못 만들어졌다는 얘기"라면서도 "해킹여부를 가릴 때 중요한 건 그게 아니다"라고 말했다. 그는 "창문을 안 가렸다고 동네 목욕탕 안쪽을 동영상으로 찍어도 되는 건 아니잖느냐"라며 정보를 (비정상적인 방법으로) 취득한 건 해킹이고, 문제가 있음을 (관리주체에) 알렸어야 한다"고 지적했다.

국내 기업의 위협인텔리전스조직 총괄 임원 D씨는 "전혀 모르는 곳이 아니라 원래 정상적으로 쓰던 시스템에서 정보를 취득했다는 점에 주목해야 한다"며 "원래 어떤 권한을 갖고 쓰던 시스템의 문제로 허용되지 않은 영역에 접근했다면, 수사기관은 그 의도를 볼 것"이라고 말했다. 비정상 접근과 비인가 정보 취득임을 인식했다면 해킹이지만, 정상적인 인식의 연장으로 인식했다면 단정할 수 없단 얘기다.

디브레인을 구성하는 여러 시스템 중 하나인 재정분석시스템과 전체 디브레인의 데이터 흐름 개념도. [자료=기획재정부]

학계 견해도 상이하다. 한 대학교 정보보호대학원 E교수는 위법성 여부 판단을 법률가들에 양보하면서도 "해킹했다고 표현하기엔 해당 시스템이 너무 허술해 창피한 얘기"라고 평했다. 또다른 대학교 정보보호대학원 F교수는 "해킹은 설계나 구현상 실수로 발생할 수 있는 시스템의 오류를 이용해 허가받지 않은 행동을 할 수 있게 하는 것"이라며 "목적성이나 고난도 기술이 있어야만 가능한 게 아니다"고 말했다.

■기재부-심재철의원실, 9월 재정정보 취득과정 적법성 두고 설전

기획재정부는 심재철의원실이 이렇게 9월초부터 대통령비서실, 국무총리실, 기획재정부, 대법원, 헌법재판소, 법무부 등 30여개 정부기관의 비인가 행정정보를 무단 열람 및 다운로드했다고 파악했다. 그 일부가 활용되거나 제3자에게 공유될 경우 국가안위 등에 영향을 줄 수 있다고 판단, 지난달 14일 해당 의원실에 정보 반환을 요구했고 17일 서울중앙지방검찰청에 유출경위 수사 취지로 고발했다.

불법행위를 저질렀다는 명목으로 기획재정부로부터 고발당한 이들은 심재철 의원 그리고 의원실 보좌관들이다. 심 의원측은 지난달 18일 언론을 상대로 불법행위를 저지르지 않았다며 재정정보 취득과정을 시연했다. 이어 19일 기획재정부 장관과 한국재정정보원장 등을 무고 혐의로 고발했다며 보좌진의 재정정보 취득은 국정감사 준비과정에서 적법하게 이뤄졌다고 주장했다.

또 10월 2일 오전 국회 본회의 경제 안건으로 진행된 대정부질의 현장에서 재정정보 취득과정 시연영상을 재생하며 정당함을 재차 주장했다. 이어 지난해 5월부터 올해 8월 사이 청와대 업무추진비 지출내역에 등재된 여러 항목의 결제일시, 상호명, 업종을 인용하면서 정부의 '예산 및 기금운용계획 집행지침' 위반 소지를 제기하며 김동연 경제부총리 겸 기획재정부 장관에게 답변을 요구했다.

10월 2일 국회 대정부질의 현장에서 심재철의원이 재생한 시연영상 속 한 장면. 심재철의원이 디브레인 시스템 접속을 시도하는 모습. [사진=국회 인터넷의사중계시스템 영상회의록 캡처]

이날 심 의원은 재정정보 취득방식의 정당성과 그에 근거한 업무추진비 집행내역의 부적절성을 강조했다. 이에 김 장관은 재정정보 취득방식의 부당함을 지적하는 한편 업무추진비의 집행내역의 적절성은 개별 항목이 아니라 감사원 전수조사 결과를 놓고 가려야 한다고 맞섰다.

심 의원은 "기획재정부는 기획재정위원에게 접근할 수 있는 ID를 제공하고 있고 보좌진은 (ID를 사용해) 해킹 등 불법적인 방법을 쓰지 않고 100% 정상적인 방법으로 접속해 자료를 열람했다"고 말했다.

이어 시연영상을 재생하며 "국회 업무용 PC에는 디브레인 접속프로그램이 기본 설치돼 있다"며 "디브레인 OLAP 화면에서 (조회) 조건 넣어 실행하면 '재입력하라'는 메시지가 나오는데, 다시하려고 백스페이스를 눌렀더니 새로운 파일이 담긴 폴더가 떠서 재정집행실적 등 여러가지를 볼 수 있었다"고 설명했다.

■ 심 의원 "열려 있어 접속했는데 범죄자 취급하나"…김 장관 "감사관실용 표시 보고도 들어간 게 잘못"

김 장관은 "백스페이스를 누르는 것과 별개로 5단계 과정이 있다"며 "적어도 6번의 경로(화면)를 거쳐야 하고 그 중 분명 '감사관실용'이라는 경고(문구)가 떠 있다"고 지적했다.

10월 2일 국회 대정부질의 현장에서 심재철의원이 재생한 시연영상 속 한 장면. 심재철의원이 디브레인 시스템의 OLAP 영역에서 재정정보를 취득한 방식을 소개 중이다. [사진=국회 인터넷의사중계시스템 영상회의록 캡처]

이어 "감사관실용이란 표시를 보면 들어가지 말았어야 하고, 들어갔더라도 저희가 보기에 190회에 걸쳐 100만건이상의 자료가 다운로드됐는데 이런것은 분명히 사법당국에서 위법성을 따져봐야 한다"고 말했다. 그는 심 의원의 근거로 활용한 재정정보가 "불법적으로 얻은 정보"이자 "기재부에서도 볼 수 없는, 극히 일부 사람만이 제한적으로 볼 수 있는 자료"라고 말했다.

심 의원은 "9월초 접속후 재정정보원 컴퓨터전문가들이 살핀 뒤 프로그램 오류로 보고했다"며 "클릭만 하면 누구나 들어갈 수 있었고, 데이터가 있고 열려 있으니 접속한 건데 그것 때문에 범죄자로 모느냐"고 반문했다.

이어 청와대와 장관실 등의 결제가 이뤄진 특정 시기 및 시간대와 상호명 그리고 결제금액 등을 언급하며 부정 의혹을 제기했다. 예산집행지침에는 밤 11시 이후 사용 불가, 특정 분류 업종에 사용 불가 등 규정이 있는데 심야사용이나 주말사용, 해외사용 등 이력 중에 지침위반 의심 항목이 많다고 봤다. 군사훈련, 국가적 참사, 재난상황 등 국가적인 주요 시기에 발생한 결제사례를 열거하며 부적절하다고 지적했다.

관련기사

김 장관은 심 의원더러 "그걸(프로그램 오류를) 합법적이지 않은 방법으로 알게된 것"이라며 "우리가 OLAP에 등재하는 자료 수는 250건인데 그중 의원실에서 접근할 수 있는 수는 90건이고 나머지 150건, 60% 이상은 열람할 권한이 없다"고 답했다. 이어 "적법성 여부는 사법당국의 판단에 맡기겠지만 다운로드한 100만건 이상의 자료는 빨리 반납해 주기 바란다"고 덧붙였다.

10월 2일 오전 국회 대정부질의에서 김동연 경제부총리 겸 기획재정부 장관(왼쪽)이 심재철의원 질의에 답하고 있다. [사진=국회 인터넷의사중계시스템 영상회의록 캡처]

이어 "정확히 말해 예산집행지침 규정은 원칙적으로 주말, 심야 업무추진비 사용 금지지만 업무관련성을 소명하면 문제 없다"며 "상호만 보면 금지업종으로 오해할 곳이 있는데 업종을 확인해야 하고, 심야 사용건 상당수는 조찬 비용"이라고 답했다. 그는 "유출된 걸로 추정되는 자료를 감사원에 전수 감사 요청했으니 그 결과를 보고 말하는 것이 타당하고, 문제 발견시 해당자에게 책임을 물을 것"이라고 말했다.