심재철 폭로, 해킹인가 의정활동인가

[한겨레] 전문가들 “정보통신망법 위반한 해킹”

보안시스템 취약, 정부도 책임 못 면해

심재철 자유한국당 의원의 재정정보 유출 논란과 관련한 쟁점 가운데 하나는 불법을 동반한 해킹이냐, 의정활동이냐에 있다. 보안 전문가들은 심 의원 쪽의 행위가 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)을 위반한 해킹으로 평가하면서도, 재정분석 시스템의 취약점을 제대로 검수하지 못한 정부도 관리 책임에서 자유로울 수 없다는 지적을 내놓는다.

심 의원 쪽은 재정분석 시스템의 비인가 정보를 내려받은 것에 대해 ‘백스페이스키를 누르다 우연히 접속하게 된 것’이라고 주장하는 반면, 기획재정부는 지난 10년간 이런 사례가 없는 만큼 ‘고의적으로 찾아낸 방법’이라는 입장이다. 한국재정정보원에 따르면, 심 의원 쪽은 우선 기본 메뉴에서 잘못된 시점과 기관명을 선택한 뒤, 자료가 없다는 오류 화면이 뜰 때 백스페이스키를 두차례 누른 것으로 보인다. 이어 새로 나타난 화면의 여러 요소 가운데 한 아이콘을 클릭한 뒤 다음 화면에서 특정 메뉴를 누르면 ‘뉴루트’(상위 카테고리) 화면이 나오고, 다시 두 단계의 화면을 거치면 문제가 된 ‘정부 구매카드(클린카드) 승인내역’ 화면이 떴을 것이라는 얘기다.

심 의원은 2일 국회 기획재정위원회에서 이런 접속 과정을 시연할 예정이다. 심 의원 쪽 관계자는 “기획재정부에서 부여받은 아이디로 접속해 얻은 자료이고, 별다른 복잡한 과정을 거친 것이 아니라 몇번 클릭으로 접속할 수 있었다”며 “그 과정에서 비인가라든지 보안 표시 등은 전혀 없었다”고 주장했다.

하지만 전문가들은 이런 행위가 정보통신망법 위반이라고 입을 모은다. 현행 정보통신망법 48조는 ‘정당한 접근 권한 없이 또는 허용된 접근 권한을 넘어 정보통신망에 침입하는 행위’를 금지하고 있다. 김승주 고려대 정보보호대학원 교수는 “이 법은 어느 집 대문이 열렸다고 들어가서 도둑질하면 죄라는 정도가 아니다. 지나가다가 저 집 대문이 잘 잠겼을까 잠깐 흔들어만 봐도 위법이라고 본다. 심 의원 쪽 행위는 성공한 해킹”이라고 말했다. 보안업계의 한 관계자도 “화이트해커들이 웹사이트의 취약점이 무엇인지 확인하기 위해 돌려보는 스캐너 프로그램이 있는데, 그것도 해킹으로 간주한다”며 정보통신망법 위반이라고 말했다.

공공기록물 관리에 관한 법률 등 다른 법률도 위반했다는 지적이 나온다. 예산감시 시민단체인 ‘세금도둑 잡아라’의 하승수 공동대표(변호사)는 “기재부 주장대로 국가 기밀이 포함돼 있다면, 비밀로 지정되지 않아도 정보공개법상 비공개 사항”이라며 “정상적인 절차로는 제출되지 않은 자료를 심 의원 쪽이 확보한 것이라 다운로드 행위들이 위법일 수 있다”고 말했다.

다만 해킹이더라도 심 의원 쪽 주장대로 백스페이스키를 누르다 우연히 뚫렸다면 재정분석 시스템을 제대로 검수하지 못한 정부도 책임을 비켜가기는 어렵다. 김승주 교수는 “해킹 사고가 발생하면 업체의 과실을 따지듯이, 정부도 취약점이 노출돼 보안이 뚫리게 된 경위를 파악해 관리 감독의 책임을 져야 한다”고 지적했다. 기재부는 재정정보원에 대한 감사를 벌이고 있고, 취약점이 발생한 원인도 어느 정도 파악한 것으로 알려져 있다. 한 정부 관계자는 “취약점은 어떤 시스템에서도 있을 수 있지만 이를 일부러 찾아내고 의도적으로 이용했는지는 수사를 통해 밝혀져야 한다”고 말했다.

정은주 박태우 이정훈 기자 ejung@hani.co.kr

[관련 영상] <한겨레TV> 정치 논평 프로그램 ｜ 더정치 136회 클립

▶ 한겨레 절친이 되어 주세요! [오늘의 추천 뉴스]
[▶ 블록체인 미디어 : 코인데스크] [신문구독]
[ⓒ한겨레신문 : 무단전재 및 재배포 금지]