중소벤처기업부의 창업 지원 프로젝트 ‘모두의 창업’에서도 도전자 5000여 명의 개인정보가 유출됐다. 당초엔 해커의 공격으로 추정됐으나 프로젝트에 참여한 기업을 통해 이메일 주소·심사평·창업 아이디어 요약 등의 정보가 유출된 것으로 뒤늦게 확인됐다. 그야말로 민·관을 가리지 않고 정부가 새나가고 있는 형국이다.
이번 사태를 계기로 부실한 행정부 외의 국가권력의 두 축인 입법부와 사업부의 정보보안에도 다시 눈길이 간다. 10년 전 북한의 해킹에 뚫렸던 국회가 지금도 하루 60회씩 사이버 공격에 노출되고 있다. 법원은 재판 자료가 2년 넘게 새고 있었다는 사실을 추후에 알았다. 그럼에도 헌법기관이라는 이유로 외부 검증의 사각지대에 놓여 있는 그야말로 ‘깜깜이’ 상황이 개선되지 않고 있어 우려가 커지고 있다.
◇10년 전 경고, 지금도 현재진행형…국회·법원 정보보안 검증 사각지대
24일 국회 운영위원회 소속 유상범 의원(국민의힘)이 국회사무처를 통해 받은 자료에 따르면 2021년 2699건이던 국회 정보시스템 침해 시도는 지난해 6609건으로 2배 넘게 증가했다. 올해 3월까지 누적 침해시도는 벌써 5364건에 달한다. 하루 평균 60회 수준이다. 지난 2015년 10월 국가정보원은 국정감사에서 북한이 외교통일위원회와 국방위원회 소속 국회의원 5명과 보좌관들의 개인 컴퓨터 10여 대를 해킹해 국정감사 자료를 빼냈다고 밝혔다. 국회에 대한 해킹시도가 공식적으로 10년이 지났지만 여전히 해킹 시도는 이어지고 있다.
법원도 보안 위협에서 자유롭지 않다. 2024년 5월 개인정보를 포함한 회생사건 관련 파일 5171개가 외부로 유출됐다. 북한 해킹조직의 소행으로 추정되는 악성코드는 2021년 1월 7일 전부터 사법부 전산망 내부 서버에 침입했고 그해 6월 29일부터 2023년 2월 9일까지 1014GB 상당의 법원 자료를 외부로 전송했다. 유출 사실을 놓친 사이에 피해자가 최소 1만 8000여 명으로 불어나자 사법부는 정치권과 여론의 질타를 받았다.
문제는 국회와 법원의 정보보안 실태를 들여다볼 방법이 없다는 점이다. 두 기관은 자체적인 정보화 업무뿐 아니라 정보보안 수행을 검증할 법적 규정이 마땅치 않다.
국회와 법원은 독립성이 보장된 헌법기관의 특성상 개인정보보호법이나 정보통신기반 보호법의 적용 대상임에도 구체적인 관리 실태와 점검 결과를 공개하지 않는다. 반면 행정부 중앙부처와 지방정부, 민간기관은 정보통신망법과 개인정보보호법, 국정원법, 정보통신기반법 등에 따라 정보보호 상황을 공시하거나 제3기관의 평가 결과를 공개한다. 보호 대상인 정보는 드러내지 않되 보안 체계와 지원 상황을 밝혀서 국민의 알 권리를 지키고 있다.
김명주 서울여대 정보보호학과 교수는 “보통 보호하려는 자산을 관리하기 위해 어떤 시스템과 인력, 예산을 쓰고 있는지가 나와야 한다”며 “여기에 기반해서 어떤 보안 철학으로 움직일지 시나리오를 밝혀야 국민이나 다른 부서가 믿고 판단할 수 있다”고 지적했다.
(그래픽= 김정훈 기자)
두 국가기관의 폐쇄적인 보안체계는 국제 보안 동향과도 동떨어져 있다. 앞서 수차례 해킹을 겪은 해외 정부와 기업들은 사이버공격이 갈수록 정교화·고도화되는 상황에 발맞춰 ‘절대 신뢰하지 말고, 항상 검증하라’라는 취지의 ‘제로트러스트’(Zero Trust) 모델을 도입하고 있다.
제로트러스트는 네트워크의 내·외부를 구분하고 외부 침입에만 주목하던 옛 모델과 다르게 네트워크 내 서버, 컴퓨팅 서비스, 데이터를 각각 분리·보호한다. 훨씬 많은 인력과 예산을 필요로하지만 하나의 자원이 해킹되더라도 인근 자원을 보호할 수 있다. 사용자나 기기의 모든 접속 요구에 대해 아이디나 패스워드 외에도 다양한 인증 방식을 적용해서 보안 수준을 높일 수 있는 강점이 있다.
미국은 행정부뿐 아니라 의회도 이 모델을 도입하기 위해 적극적으로 논의하고 있다. 영국 정부는 2021년 7월 제로트러스트 아키텍처 설계 원칙을 발표했고 일본도 이듬해 유사한 모델을 적용하는 정책을 내놨다. 주요국이 잇따라 동참하면서 제로트러스트는 글로벌 정보보안의 새 기준으로 굳어지고 있다.
반면 우리 입법·사법부는 정보보안이 걸음마 수준에 불과하다.
법원행정처는 “사이버 보안 위협에 대비하기 위해 제로트러스트 방향성을 가지고 검토하고 있다”며 “이행계획 수립을 위한 컨설팅을 준비하고 있다”고 밝혔다. 국회는 “제로트러스트 보안 정책의 취지를 반영해 정보보안 업무를 수행하고 있다”면서도 “국가정보원 가이드라인을 우선 준수해 보안 정책을 수립하고 있다”고 했다.
전문가들은 제로트러스트나 제3의 정보보안 거버넌스의 필요에 공감했다.
황석진 동국대 국제정보보호대학원 교수는 “헌법기관까지 아우를 수 있는 공통의 최소 보안기준을 마련해서 보안사고에 대한 보고 의무와 독립적인 외부 평가를 법률 수준에서 정비해야 한다”고 제언했다. 다만 “국정원이 직접 지휘하는 방식은 논란이 있을 수 있다”며 “민간 전문가가 참여하는 별도의 행정평가 체계를 두는 것이 현실적인 대안일 것”이라고 부연했다.
염흥렬 순천향대 정보보호학과 교수는 “국회와 사법부는 작금의 공격 능력에 적절한 보안 태세를 구축하기 위해 자체 전문 보안 인력의 확보가 필요하고, 보안 취약점을 점검해야 한다”며 “국가 주도의 공격까지 고려한 대응 태세 구축이 시급하다”고 말했다.
