실시간 뉴스



애꿎은 기업 탓? …재정정보원 시스템 작년에 바꿨다


보안 관리 문제일 수 …재정정보원 "감사·결과 지켜봐야"

[아이뉴스24 성지은 기자] 심재철 의원의 재정정보 유출 문제가 백도어(비공개 접속 경로) 논란까지 옮겨 붙은 형국이다.

재정정보원 시스템을 구축했던 민간기업 등의 백도어 설치 의혹까지 불거진 상태다. 이를 두고 책임 소재 공방이 가열되고 있는 가운데 정작 문제가 된 시스템은 지난해 고도화 등 바뀐 것으로 나타났다.

지난해 한국재정정보원이 재정분석시스템(OLAP)을 비롯한 디지털예산회계시스템(디브레인, dBrain) 전반을 고도화하고, 감리를 진행했음에도 이번 자료 유출 등 보안 사고가 발생한 것.

이에 따라 당초 구축됐던 시스템이나 해당 민간기업 문제가 아닌 고도화 등 이후 재정정보원의 보안 관리 소홀 등에 문제가 있었던 것 아니냐는 지적도 나온다. 애꿎은 민간기업 탓만 하고 있다는 얘기다.

다만 재정정보원 측은 충분한 보안성 감사를 받았고 최근 불거진 백도어 가능성을 포함 정확한 자료 유출 경위와 원인에 대해서는 수사 등 결과를 지켜봐야 한다는 입장이다.

18일 정부 입찰공고 등에 따르면, 재정정보원은 지난해 22억6천여만원의 예산을 들여 '17년도 디지털예산회계시스템 개선 및 열린재정·재정분석시스템 고도화' 사업을 추진하고, 7천여만원의 예산을 추가 투입해 감리용역을 진행한 것으로 확인됐다.

고도화 사업은 시스템 전반의 이용·효율성을 추가 개선하는 사업으로, 국내 중소IT업체가 맡았다. 또 감리용역은 별도 IT컨설팅 업체가 진행했다.

최근 심재철 의원의 정부 예산자료 유출 논란으로 문제를 빚는 재정분석시스템은 2007년부터 2016년까지 민간업체(삼성SDS컨소시엄, KTNET컨소시엄)에서 구축·운영했다. 이 탓에 이들 컨소시엄의 시스템 구축에 문제가 있었던 것 아니냐는 주장도 일었던 것.

그러나 해당 시스템은 2016년 7월 개원한 재정정보원이 운영·관리 업무를 맡으면서 지난해 외부 사업자를 통해 고도화를 진행, 당초 삼성SDS 등 해당 컨소시엄이 구축한 것에서 달라졌다는 얘기다.

실제로 고도화 등에 따라 시스템 변경이 이뤄졌다. 해당 사업 제안요청서를 보면, 통계 리포트 기능을 추가하고 경영자정보시스템(EIS)에 웹표준(HTML5)을 적용하는 내용 등이 포함됐다. 과거 구축된 시스템은 프로그램을 PC에 내려받아 사용하는 형태였는데, 지난해 시스템 변경을 통해 웹브라우저 종류에 상관없이 웹사이트를 통해 정보에 접근할 수 있도록 바뀐 것.

삼성SDS컨소시엄 사업에 참여했던 한 관계자는 "(구축)당시엔 클라이언트·서버(CS) 기반으로 시스템이 개발됐는데, 최근 심재철 의원이 시연해 보인 화면을 보면 개발이 웹 화면을 기반으로 이뤄졌다"며 시스템 변경을 지적했다.

이 탓에 시스템 고도화에 따라 보안 문제가 발생했을 가능성도 제기된다. 가령 테스트용으로 만들어둔 관리자 계정을 삭제하지 않고 방치하거나, 현재로서는 원인을 밝히기 어려운 시스템 오류가 생겼을 가능성도 배제할 수 없다는 것.

이에 대해 재정정보원 관계자는 "행정안전부에서 제시하는 소프트웨어(SW) 보안 약점 관련 47개 항목에 따라 4차례에 걸쳐 대·내외 보안감사를 진행했다"고 반박했다.

다만 "이번 자료 유출은 (이에 포함되지 않는) 예외적인 방법으로 이뤄져 시스템 구축·운영부터 전 단계의 조사가 필요한 상황으로 수사 결과를 지켜봐야 한다"고 덧붙였다.

◆백도어 의혹 제기, 민간업체 '불똥'

그러나 이 같은 시스템 고도화에 대한 언급 없이 최근 보안 논란으로 '불똥'을 맞은 건 당초 시스템을 구축했던 민간업체다.

심상정 정의당 의원은 지난 16일 국회 기획재정위원회 국감에서 이 문제를 민간업체가 설치했을 수 있다며 백도어 의혹을 제기했다. 심재철 의원실이 '관리자 권한'으로 재정분석시스템에 접근했다면 개발자가 만든 백도어가 유출 경로일 수 있다는 주장이다.

백도어는 시스템 접근에 대한 사용자 인증 등 정상적인 절차를 거치지 않고 시스템에 접근할 수 있는 기능을 말한다. 특수한 경우, 원활한 유지 보수 서비스를 위해 시스템 설계자나 관리자가 이용할 수 있는 백도어를 만들어두기도 한다.

심상정 의원은 "재정정보원에 확인한 결과 심재철 의원실이 재정분석시스템에서 비인가 재정정보를 내려받은 경로는 관리자 모드였다"며 "백도어 존재 가능성이 높다고 보는데, 시스템 구축업체부터 지금까지 운영을 맡아온 업체를 모두 샅샅이 조사해야 한다"고 주장했다.

삼성SDS 컨소시엄이 백도어를 심어놓고 국가 기밀인 국가재정시스템의 내용을 들여다봤을 수 있다는 주장이다.

그러나 김재훈 재정정보원장은 "재정분석시스템에서 지금과 같은 비인가정보에 접근했는지 여부를 로그기록으로 봤는데, 그런 사실이 없었다"며 백도어 의혹을 부인했다.

삼성SDS 측도 "해당 시스템은 이미 2014년 5월 운영사업 계약이 종료된 것으로 이후 운영과는 무관하다"며 "운영을 맡고 있는 동안에도 매년 보안감사를 받았던 만큼 백도어 관련 의혹은 전혀 사실이 아니다"라고 반박했다.

◆백도어? "음모론" VS "해킹 가능성"

혹시 모를 백도어 가능성을 두고 SW·IT서비스업계는 이 같은 백도어 설치가 '음모론'에 가깝다고 입을 모으고 있다.

SW업계 관계자는 "문제가 발생할 시 사업체가 문닫을 정도로 신뢰도에 큰 타격을 입는데, 백도어를 심었을 때 얻는 실익이 무엇이냐"고 반문했다.

IT서비스업체 관계자도 "솔루션이나 시스템에 백도어를 남겨둔다는 발상 자체가 말이 안 된다"며 "프로젝트를 완료하면 발주자를 비롯해 여러 곳에서 감사를 받는다"고 설명했다.

다만 보안업계는 "100% 완벽한 보안이 없다"는 점에서 악성코드 등에 따른 해킹 등 가능성을 언급했다.

보안업계 관계자는 "과거 국방부는 내부망이 인터넷과 분리된 폐쇄망이라 안전하다고 했는데, 해킹을 당해 조사해보니 백신 중계 서버 하나가 인터넷망과 내부망에 동시 연결돼 있었다"며 "이 서버를 통해 내부로 악성코드가 유입됐는데, 이러한 가능성도 배제할 수 없다"고 설명했다.

재정정보원은 재정분석시스템이 외부에서 접근이 차단된 폐쇄망이라 외부 침입이 불가능하다고 했지만, 모든 가능성을 배제할 수 없다는 의미다.

한편, 재정정보원은 보안을 강화한 시스템에 대해 안정성 검증을 완료한 뒤 이달 중 재개통할 예정이다. 향후 모든 시스템을 전면 재점검하고 시스템 보안을 강화한다는 방침이다.

성지은기자 buildcastle@inews24.com






alert

댓글 쓰기 제목 애꿎은 기업 탓? …재정정보원 시스템 작년에 바꿨다

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스