|
그는 진행자가 ‘정부기관을 통해서도 개인정보가 새 나갈 수 있는 것인가’라고 묻자 “지난달 8월 미국에서 보고서가 하나 공개됐다. 그 보고서에 따르면 ‘우리 정부가 굉장히 심각한 해킹을 당했다’ 이런 얘기들이 실제로 있다”며 “여러 가지 내용이 있지만 제일 중요한 게 우리나라 공무원들이 중앙행정기관 광역기초지자체 이런 데서 사용하는 ‘온-나라’(On-nara)시스템”이라고 답했다.
이어 “‘온-나라’ 시스템은 공문서, 보고서, 회의 자료 메모, 이런 걸 전자파일 형태로 공유하는 데 사용되고 있다”며 “근데 이걸 ‘해커가 해킹했다, 그래서 그 안에서 전송·공유되는 각종 정보를 취득했다’ 이 내용이 발표됐다”고 설명했다.
그러면서 “이건 굉장히 심각한 것”이라며 “이거 말고 공무원들이 쓰는 GPKI인증서도 있다. 그 소스코드도 유출됐다고 확인이 됐다. 저희 정보 당국이 조사를 했는데 이 내용은 전부 다 사실인 걸로 확인이 됐다”고 했다.
김 교수는 진행장가 ‘이러면 민간회사에서 고객정보가 새 나간 수준이 아니지 않느냐’고 하자 “그렇다”며 “최초 침투 지점 이런 것들은 정보 당국이 파악을 했는데 SKT 사고 났을 때도 그렇고 롯데카드도 그렇고 이런 게 있으면 국회에서 ‘모든 걸 전수조사하라’ 얘기하지 않느냐. 지금 우리는 거기까지는 못 가고 있다. 해커 PC 한 대에서 나온 게 이 정도다. 우리 정부 전산시스템도 전수조사를 해서 한 번 확인할 필요가 있다. 굉장히 시급한 문제”라고 강조했다.
그는 “일단 이 사고 건에 대해서만 확인한 거고 전수조사는 아직 못하고 있는 것 같다”며 “그래서 이주희 (더불어민주당) 국회의원이 ‘통신사별로 청문회를 할 게 아니고 국회 차원의 특위를 구축해서 이걸 전부 다 한번 들여다볼 필요가 있다’, ‘범 상임위적으로 뭘 만들 필요가 있다’ 이 얘기를 하는 거다. 저는 거기에 100% 동의한다”고 덧붙였다.
김 교수는 “(보고서 안에는) 실제로 해커가 통일부와 해양수산부 직원의 아이디와 비번을 알아내서 그 직원 계정으로 침투해 내부 자료를 봤다 이런 내용도 있다”며 “지금 전문가들은 이 정보를 해킹한 해커를 중국 또는 북한 출신이다, 이렇게 지금 생각하고 있다”고 했다.
|
그는 “(ISMS-P는) 과기정통부와 개인정보보호위원회가 주관하는 제도”라며 “기업을 실사해서 ‘당신들이 고객정보 그다음에 내부정보를 잘 관리하고 있다’ 이런 인증서를 주는 제도다. 근데 롯데카드가 ‘ISMS-P, 이렇게 어려운 인증을 우리가 받았다’ 보도자료를 냈는데 2, 3일 있다가 해킹을 당한 것”이라고 설명했다.
그러면서 “해외는 어떤 걸 평가해서 보안 인증을 줬을 때 그 평가한 부분에서 문제가 생기면 관리하는 정부도 심사기관도 일정 부분 책임을 진다”며 “(우리나라는) 업체한테는 과징금 부여하고 이러지만 그걸 관리하는 정부 주체, 심사기관한테 책임을 묻는 부분이 비어 있다. 이러다 보면 관리가 부실해질 수 있다”고 제도 보완 필요성을 언급했다.
