박지만 오후 검찰 출석 박지만 오후 검찰 출석 “아는 것 사실대로 말하겠다” 56번째 생일날 ‘당혹’ ’정윤회 국정개입 의혹’ 문건 등 청와대 문건 유출 사건과 관련해 박지만 EG회장이 15일 오후 2시 28분쯤 검찰 조사를 받기 위해 참고인 신분으로 서울중앙지검에 출석했다. 이날은 공교롭게도 박 회장의 56번째 생일이다. 박 회장은 심경을 묻는 취재진에 “알고 있는 사실대로 얘기하겠다”고 짧게 답했고, ‘정윤회씨가 미행을 지시했다고 생각하느냐’는 질문에는 답변하지 않은 채 방문자용 엘리베이터를 타고 곧장 조사실로 향했다. ’미행설’ 등과 관련해 그동안 언급을 피했던 박 회장은 전날 검찰의 출석 통보에 전격적으로 응하며 조사를 받겠다는 뜻을 전한 것으로 알려졌다. 박 회장은 애초 알려진 것과 달리 변호인과 함께 출석했다. 검찰은 박 회장을 상대로 ‘정윤회 국정개입 의혹’ 문건을 보도한 세계일보 기자를 올해 5월 만난 경위와 청와대에서 유출된 문건의 사후 처리 과정 등을 확인할 방침이다. 세계일보는 지난 5월 12일 박 회장과 접촉해 청와대 공직기강비서관실 문건 100여장을 전달했으며, 박 회장은 청와대 내부에 심각한 보안사고가 발생했다는 우려와 함께 청와대에 이를 알렸다고 최근 보도했다. 당시 박 회장은 청와대 오모 행정관을 통해 정호성 청와대 제1부속비서관에게 유출된 문건을 전달했다고 주장했지만 정 비서관 등은 ‘받은 적이 없다’며 다른 주장을 하고 있다. 검찰은 박 회장을 상대로 세계일보에서 받은 문건을 어떤 형태로 누구에게 전달했는지 확인하고, 청와대와 국정원에서 어떤 조처를 했는지 등도 살펴볼 방침이다. 당시 박 회장이 본 문건은 자신과 부인인 서향희 변호사 등 가족과 측근의 동향 관련 내용이 대부분이었던 것으로 알려졌다. 검찰은 또 청와대에서 ‘정윤회 문건’의 작성·유출 경로로 의심하는 이른바 ’7인회’와 박 회장의 관련성도 확인할 계획이다. 청와대는 조응천 전 공직기강비서관이 주도하는 ‘7인회’가 ‘정윤회 문건’을 작성, 유포했다고 보고 이 같은 내용을 담은 감찰 결과를 검찰에 제출했다. 조 전 비서관 등 ‘7인회’ 멤버로 알려진 인사들은 모두 박 회장과 친분이 있지만 모임 자체를 부인하고 있다. 검찰은 정윤회씨가 박 회장을 미행했다는 시사저널 보도와 관련해서도 사실 관계를 확인할 방침이다. 정씨가 시사저널 기자들을 고소한 이 사건과 관련해 박 회장은 진술을 거부해왔다. 검찰은 그동안 알려진 것처럼 박 회장이 자신을 미행한 오토바이 기사를 붙잡아 정씨가 시켰다는 자술서를 받아낸 사실이 있는지 확인할 방침이다. 검찰은 박 회장과 정윤회씨의 대질조사 필요성을 낮게 보면서도 수사 상황에 따라 대질하는 방안도 고려하는 것으로 알려졌다. 온라인뉴스부 iseoul@seoul.co.kr

박지만 오후 검찰 출석 박지만 오후 검찰 출석 “알고 있는 사실대로 얘기하겠다” 무슨 뜻? ’정윤회 국정개입 의혹’ 문건 등 청와대 문건 유출 사건과 관련해 박지만 EG회장이 15일 오후 2시 28분쯤 검찰 조사를 받기 위해 참고인 신분으로 서울중앙지검에 출석했다. 박 회장은 심경을 묻는 취재진에 “알고 있는 사실대로 얘기하겠다”고 짧게 답했고, ‘정윤회씨가 미행을 지시했다고 생각하느냐’는 질문에는 답변하지 않은 채 방문자용 엘리베이터를 타고 곧장 조사실로 향했다. ’미행설’ 등과 관련해 그동안 언급을 피했던 박 회장은 전날 검찰의 출석 통보에 전격적으로 응하며 조사를 받겠다는 뜻을 전한 것으로 알려졌다. 박 회장은 애초 알려진 것과 달리 변호인과 함께 출석했다. 검찰은 박 회장을 상대로 ‘정윤회 국정개입 의혹’ 문건을 보도한 세계일보 기자를 올해 5월 만난 경위와 청와대에서 유출된 문건의 사후 처리 과정 등을 확인할 방침이다. 세계일보는 지난 5월 12일 박 회장과 접촉해 청와대 공직기강비서관실 문건 100여장을 전달했으며, 박 회장은 청와대 내부에 심각한 보안사고가 발생했다는 우려와 함께 청와대에 이를 알렸다고 최근 보도했다. 당시 박 회장은 청와대 오모 행정관을 통해 정호성 청와대 제1부속비서관에게 유출된 문건을 전달했다고 주장했지만 정 비서관 등은 ‘받은 적이 없다’며 다른 주장을 하고 있다. 검찰은 박 회장을 상대로 세계일보에서 받은 문건을 어떤 형태로 누구에게 전달했는지 확인하고, 청와대와 국정원에서 어떤 조처를 했는지 등도 살펴볼 방침이다. 당시 박 회장이 본 문건은 자신과 부인인 서향희 변호사 등 가족과 측근의 동향 관련 내용이 대부분이었던 것으로 알려졌다. 검찰은 또 청와대에서 ‘정윤회 문건’의 작성·유출 경로로 의심하는 이른바 ’7인회’와 박 회장의 관련성도 확인할 계획이다. 청와대는 조응천 전 공직기강비서관이 주도하는 ‘7인회’가 ‘정윤회 문건’을 작성, 유포했다고 보고 이 같은 내용을 담은 감찰 결과를 검찰에 제출했다. 조 전 비서관 등 ‘7인회’ 멤버로 알려진 인사들은 모두 박 회장과 친분이 있지만 모임 자체를 부인하고 있다. 검찰은 정윤회씨가 박 회장을 미행했다는 시사저널 보도와 관련해서도 사실 관계를 확인할 방침이다. 정씨가 시사저널 기자들을 고소한 이 사건과 관련해 박 회장은 진술을 거부해왔다. 검찰은 그동안 알려진 것처럼 박 회장이 자신을 미행한 오토바이 기사를 붙잡아 정씨가 시켰다는 자술서를 받아낸 사실이 있는지 확인할 방침이다. 검찰은 박 회장과 정윤회씨의 대질조사 필요성을 낮게 보면서도 수사 상황에 따라 대질하는 방안도 고려하는 것으로 알려졌다. 온라인뉴스부 iseoul@seoul.co.kr

“차라리 엄마에게 이를 수 있도록 병사들에게 휴대전화를 지급하라.” 군내 가혹 행위로 사망한 28사단 윤모 일병 사건 이후인 지난 8월 4일 윤후덕 새정치민주연합 의원은 국회 국방위원회 긴급 현안질의에서 이같이 말했다. 권오성 육군참모총장은 “긍정적으로 검토하고 있다”고 말했고 국방부는 실제로 검토에 들어갔다. 그러나 휴대전화 지급은 즉흥적으로 결정할 일이 아니라는 반론이 나왔다. 구타·가혹 행위를 외부에 알릴 수 있고 병사들의 고립감을 해소할 수 있다는 긍정적인 효과에 대한 기대도 있었지만 군 보안상 심각한 문제가 발생하고 휴대전화 보급으로 인해 병사 간 소통이 오히려 단절될 것이란 우려도 공감대를 얻었다. 최근 문재인 새정치연합 의원이 국방부에 의뢰해 26개국 병사들의 휴대전화 사용 현황을 조사한 결과 전시 체제 국가인 이스라엘을 포함한 21개국에서 휴대전화 사용을 허용한 것으로 확인돼 논란이 재점화됐다. 문 의원은 병사들이 통신의 자유를 가져야 한다고 주장했지만 해외 사례를 국내에 곧바로 적용하는 것은 무리라는 반론도 만만치 않다. 통신의 자유 보장과 군 보안에 대한 위협, 장병들에게 휴대전화를 지급할 때 생길 수 있는 두 측면을 전문가들에게 들어봤다. [贊] 김진욱 새정치민주연합 부대변인 “일과 후 최소한 통신의 자유 허용…병영 내 가혹행위·고립감 막아야” 군대 내에서 휴대전화 사용을 허용해야 하는지를 놓고 논쟁이 뜨겁다. 결론부터 말하자면 휴대전화 사용을 원칙적으로 허용해야 한다. 물론 일과 시간 혹은 훈련과 작전 중일 때, 군사 통제 및 제한 구역에서의 휴대전화 사용을 허용하자는 것은 아니다. 다만 통신보안교육을 강화하는 것을 전제로 일과 후의 자유 시간 동안만이라도 휴대전화를 통해 가족이나 친구 등과 소통할 수 있는 최소한의 통신 자유를 허용해야 한다는 것이다. 국방부가 병사 계급별 공용 휴대전화 사용을 일부 부대에 시험 운용한 배경은 알다시피 28사단에서 윤모 일병이 충격적인 구타에 의해 사망한 사건이 일어났기 때문이다. 윤 일병은 선임병들의 조직적인 집단 구타와 가혹 행위로 숨질 때까지 가족에게조차 연락하지 못했다. 휴대전화 사용을 통해 병사도 무슨 일이 있을 때 누군가에게 알릴 수 있다면, 병영 내 가혹 행위 등을 완전히 없앨 수는 없더라도 최소한 현재보다 현격히 줄어들게 만들 수는 있었을 것이다. 군의 군사정보 유출과 같은 보안상의 이유가 휴대전화 허용을 반대하는 주요 논거가 되고 있다. 이를 몇 가지 이유로 반박하자면 첫째, 정보기술(IT) 강국이라고 자부하는 대한민국에서 촬영과 녹음, 위치정보(GPS) 등에 의한 군사정보 유출 가능성을 차단할 수 있는 군용 휴대전화기를 개발, 보급해 통신보안 문제를 기술적으로 충분히 해결할 수 있다. 둘째, 현행 군인복무규율과 부대관리훈령 등에 따르면 장교, 부사관 등의 간부들도 등록된 휴대전화에 한해서만 사용할 수 있지만 현재 군대 내에서 장교와 부사관들은 병영 내 휴대전화 사용에 있어 별다른 제약을 받고 있지 않다. 군사정보에 대한 양적, 질적 접근량이 일반 사병에 비해 훨씬 많은 간부들의 휴대전화 사용은 허용하면서 사병들이 안부전화 용도로 사용하는 것마저 문제 삼는 것은 매우 이중적인 태도다. 군대 내 계급의 차이에 따라 보안의식에서도 차이가 있을 것이라는 가정은 매우 비과학적이다. 셋째, 군사보안에 대해 구체적으로 어떤 내용들이 보안상 문제가 될 수 있는지 명시한 통신보안교육을 실시하고 강화함으로써 군사정보 유출을 막을 수 있다. 새정치민주연합 문재인 의원이 공개한 자료에서 이미 지적한 바와 같이 세계 26개국 중 21개국에서 사병들의 휴대전화 사용을 허용하고 있는 것으로 조사됐다. 모병제 국가와 징병제 국가의 차이가 있다고 주장하지만 우리와 같은 징병제 국가들에서도 병사들의 개인 휴대전화 사용이 가능하다. 특히 최근까지 군사적 충돌이 있었던 우크라이나와 러시아, 지난 8월 말까지 하마스와 전쟁을 치렀던 이스라엘, 아직도 ‘이슬람국가’(IS)와 교전 중인 이라크 병사들도 휴대전화를 사용할 수 있는 것으로 파악됐다. 우리와 같은 징병제 국가인 싱가포르, 이스라엘과 멕시코도 병사들의 개인 휴대전화 사용이 가능하다는 점은 시사하는 바가 크다. 결론적으로 사병의 휴대전화 사용을 불허하는 방식의 정보 보안은 단순히 정보 유출의 즉각성을 막는 것이지 근원적인 해결책은 될 수 없다. 휴대전화의 허용은 장교, 부사관과 사병들의 형평성 논란을 줄일 수 있다. 또한 사병을 군수품의 일환으로 보는 전근대적이고 비인격적인 군대문화의 구습도 철폐하는 일이 될 것이다. 군대 내 폭행 및 성추행 문제는 군대의 폐쇄적인 병영문화에 기인한다. 이제는 “그동안 쌓여 온 뿌리 깊은 적폐를 국가 혁신과 국방 혁신 차원에서 반드시 바로잡아야 할 것”이라는 박근혜 대통령의 말을 구호로서뿐만 아니라 반인권적 행위에 대한 엄단을 통해 병영문화 혁신을 실천으로 옮겨야 할 때이고, 병사들의 휴대전화 사용은 그 시작이 될 것이다. [反] 신인균 자주국방네트워크 대표 “규정 위반 병사 1%만 나와도 하루 5000건 보안사고 우려” 28사단 윤모 일병이 장기간에 걸쳐 충격적인 방법으로 구타를 당한 끝에 사망한 사건은 우리 군이 그동안 자신들도 모르게 젖어 있던 적폐에 대해 근원부터 생각하게 만드는 계기가 됐다. 그중 사회적 요구가 드셌던 것이 바로 병사들도 휴대전화를 소유할 수 있게 하자는 주장이다. 군 입대 직전까지도 스마트폰이라는 문명의 이기를 분신처럼 가지고 소통의 수단으로 사용하던 병사들이 군에 입대한 뒤 느끼는 고립감을 해소하는 것은 물론이고 가혹 행위를 당했을 때 즉시 가족에게 신고할 수 있는 수단이 있다면 윤 일병과 같은 비극은 생기지 않는다는 생각에서다. 이런 문제의식을 가지고 민·관·군 병영문화혁신위원회 제2분과에서는 지난 8월부터 병사들의 휴대전화 보유에 대해 집중적으로 연구했다. 10여 차례의 군부대 현장 방문과 직접 면담은 물론 신뢰성을 확보하기 위해 육해공군 및 해병대 장병 5062명에 대한 설문 조사도 했다. 설문 결과 휴대전화 보유에 대해 이등·일등병은 압도적으로 찬성도가 높았고 상병, 병장들은 반대로 부정적인 인식이 강했다. 공통적으로 2G폰은 큰 의미가 없다고 인식했다. 면담과 설문을 통해 얻은 결론은 이 두 계층의 병사들은 같은 사안을 놓고 아주 다른 해석을 한다는 데 있었다. 먼저 고립감에 대해 이등·일등병들의 경우 휴대전화 보유가 고립감 해소에 큰 도움이 될 것이라는 인식이 컸다. 누구나 생각할 수 있는 당연한 결과였다. 하지만 미처 생각하지 못했던 부분까지 생각하는 병사들이 있었다. 상병, 병장들이 주로 그런 생각을 갖고 있었는데, 휴대전화 보유가 고립감을 증폭시킬 것이라는 뜻밖의 견해였다. 만약 일과 시간 이후에 휴대전화를 나눠 주고 자유롭게 사용하게 한다면 지금 내무반에서는 당장 대화가 사라지고 모든 병사는 고개 숙인 채 휴대전화만 사용하고 있을 것이라는 말이었다. 동료들 간 대화는 단절되고 전우애는 없어질 것이라는 말에 더해 오히려 과도한 소셜네트워크서비스(SNS) 사용으로 군 생활에 더 적응하지 못하게 되는 사고가 발생할 것이라는 우려도 나왔다. 실시간 SNS를 통해 사회에 있는 가족이나 친구들이 즐거운 시간을 보내고 있음을 알게 된다면 더욱 고립감을 느껴 탈영 사고 등이 급증할 것이라는 견해도 꽤 있었다. 휴대전화가 있다면 무엇을 가장 많이 할 것인가를 물으니 게임을 하겠다는 의견이 제일 많았다. 게임을 찬성하는 병사들은 단지 희망적인 생각이었지만 반대하는 병사들은 게임이 보편화된다면 게임 아이템 등으로 인해 새로운 부조리와 갈등이 생길 것이라고 우려했다. 가장 중요하게 생각하는 보안에 대해서도 이등·일등병들은 큰 의견이 없는 데 반해 상병, 병장들은 걱정을 많이 했다. 스마트폰은 간단한 작업만으로도 도청이나 정보 해킹 등이 아주 쉬운 장비다. 99%의 병사가 규정을 잘 지킨다 하더라도 단 1%의 규정 위반자가 발생한다면 우리 군 전체로 하루 5000건의 보안 사고가 발생하게 되는 것이다. 끔찍하지 않은가. 백번 양보해서 1년에 1%라 하더라도 매일 13~14건의 보안 사고가 생기게 된다. 이는 북한과 대치관계에 있는 우리 여건에서는 치명적인 상황으로 내몰리는 요인이 된다. 스마트폰이 보편화된 지 불과 4~5년이다. 아직 이에 대한 보안 체계가 완비되지 않은 지금 섣불리 휴대전화를 보급한다면 우리 안보가 위태로워질 수 있다. 따라서 병사들이 자유롭게 소통할 수 있는 대체 수단을 보급하고, 작업 소요를 줄이고, 내무반에 들어오면 오직 편안하게 쉴 수 있는 여건을 보장하는 등 여러 방법으로 병사들의 복무 만족도를 높여 줘야 한다. 그 후 사회적 안전장치가 보편화됐을 때 휴대전화 보급에 대한 고려를 하는 것이 순서가 아닐까 한다.

최근 카드사 정보유출을 비롯해 보안 관리자로 인한 해킹 피해가 속출하면서 ‘직접접근제어’가 화두가 되고 있다. 직접접근제어란 말 그대로 관리자가 보안실에 직접 접근해 수행하는 작업을 제어하여 혹여나 일어날 수 있는 보안 사고를 예방하는 보안 시스템을 말한다. 그동안 기업들의 보안 시스템을 지속적으로 강화했음에도 불구하고 각종 개인정보유출 사고가 끊이지 않는 것은 네트워크를 통한 원격접근에 초점을 맞춰왔기 때문이다. 정작 내부 소행에 의한 직접접근에 대해서는 효율적으로 대응하지 못한 것이다. 이에 보안솔루션 전문기업 ㈜에스엠프로(대표 유재은)와 보안시스템 개발 업체 ㈜비젯(대표 장건)이 선보인 직접접근제어시스템 ‘에스닥(SDAC)’이 눈길을 끌고 있다. 에스닥은 안전행정부의 정부통합전산센터(NCIA)가 ‘e-안시성’ 프로젝트를 통해 구축한 솔루션을 업그레이드한 것으로, 전산실 방문 작업 혹은 콘솔실(컴퓨터나 전자, 통신기기 따위의 각종 스위치를 한곳에 모아 제어할 수 있도록 한 조정용 장치실) 작업과 같이 작업자의 직접접근에 의한 해킹 피해를 막는 데 초점을 맞춘 솔루션이다. 외주인력이 전산실 혹은 콘솔실에서 작업할 때 승인된 작업만 할 수 있도록 작업 내용을 통제하고 작업 내용을 기록하여 피해를 원천적으로 예방하는 기술이다. 관리자가 지정한 보안 정책에 따라 4가지 큰 기능인 작업 승인 관리, 접근 통제 관리, 작업 환경 통제, 작업 로그 관리의 기능이 가능하다. 이 과정에서 핵심적인 역할을 하는 것은 작은 감시자 ‘S-토큰’이다. S-토큰은 사용자 인증장치로, 전산실 혹은 콘솔실에 작업하는 인력은 반드시 이 토큰을 PC와 연결하고 로그인에 성공해야 작업할 수 있다. 따라서 작업자는 지정된 PC에서 S-토큰에 기록된 지정 보안정책에 따라서만 작업하게 되며, S-토큰 미인증 시 지정된 PC 로그인 자체가 불가하다. 또한 콘솔실과 전산실에서 작업할 경우 작업 전용노트북인 S-BOOK 또는 SDAC 에이전트인 S-AGENT가 설치된 PC로만 작업이 가능하게 하는 작업환경 통제를 수행한다. 이 밖에도 작업자에게 대상 장비에 대한 어떠한 접속정보(ID, PW, IP 등)도 제공하지 않으며, 작업자는 임의로 서버와 네트워크 장비에 접속할 수 없다. 즉, 임의의 장비에 대한 접속과 작업자 임의적인 명령어 입력, 악성 프로그램 실행, 서버 내 자료 무단복제 등의 행위가 사전에 차단되기 때문에 더욱 안전하다. ㈜에스엠프로 유재은 대표는 “기업들의 대규모 개인정보유출 사고로 인해 외주 인력 작업에 대한 통제의 필요성이 커지고 있다”며 “에스닥은 콘솔실 작업, 전산실 방문 작업 시 작업자의 작업을 근본적으로 통제할 수 있어 직접접근에 의한 보안사고를 효과적으로 예방할 수 있을 것으로 기대된다”고 전했다. 나우뉴스부 nownews@seoul.co.kr

‘감사원이 진화하고 있다.’ 공무원이 감사를 받다가 억울하면 변호사 등을 감사위원회에 출석시켜 대리 진술을 할 수 있게 된다. 또 잘못을 했어도 열심히 일하다 문제를 일으킨 경우라면 면책받을 수 있는 길도 열린다. 감사원은 이 같은 내용의 ‘감사원 발전방안’을 마련했다고 26일 밝혔다. 황찬현 감사원장이 지난해 12월 취임한 뒤 추진해 온 감사원 개혁방안의 하나로 ‘절차적 정당성’을 강화한 ‘황찬현식 감사 3.0’의 첫 프로그램인 셈이다. 이는 합리적이고 적극적인 감사 방안으로 평가된다. 감사원은 입찰 참가자격 제한, 조세·부담금 등 부과, 인허가 취소 등 감사원의 정부 부처 및 공공기관에 대한 감사로 불이익을 받았다고 생각되는 제3의 이해당사자가 지닌 항변권을 심의·의결 단계부터 보장하는 개선 제도를 하반기부터 시행한다고 26일 밝혔다. 대상기관 또는 이해관계인이 감사위에 직접 출석, 의견을 진술하는 대심적 요소를 도입하는 것으로 내부검토 단계에서 감사 결과에 따라 불이익 처분을 받게 되는 이해관계인에게 관련 사실을 알리고, 소명자료를 제출받아 이를 반영하는 등 절차적 정당성을 높이기 위해서다. 사회적 파급 효과가 크거나 당사자 간 갈등이 있는 사안에 대해선 변호사, 세무사, 노무사 등 전문가들이 감사원에 입장을 설명할 수 있도록 했다. 법원에서 소송 당사자가 변호사를 선임해 자신의 입장을 변호할 수 있게 하는 것과 비슷한 성격이다. 이전에는 현장 감사를 마치고 내부보고서를 작성하는 단계까지만 피감기관에 해명 기회를 주었지만 이번에는 감사위의 심의·의결이 이뤄지는 단계로까지 기회를 확대하는 셈이다. 아울러 감사원은 ‘적극 행정 면책제도’를 활성화하기 위해 ‘업무 담당자와 대상업무 사이에 사적인 이해관계가 없고, 업무처리 때 충분한 사전 검토와 필요한 행정절차를 거친 경우’라는 세부 기준을 마련, 면책 요건을 더 명확히 규정했다. 공무원들의 적극적인 업무 수행 분위기를 조성하기 위해서다. 이 제도는 2009년 도입됐지만 추상적인 문구 탓에 사문화돼 왔다. 또 세월호 참사를 계기로 국민 안전에 대한 관심이 높아진 것과 최근 사이버 보안사고가 잦아진 것에 대처하기 위해 국민 안전과 정보기술(IT) 분야를 전담하는 전담 감사부서를 신설하고 이를 위해 사무처 조직개편을 추진하는 한편 하반기부터 본격적인 감사에 착수할 방침이다. 한편 감사원은 ‘적극·소극 행정 사례집’을 발간하고 ‘적극 행정’을 지원하는 교육 과정도 개설할 예정이다. 황 감사원장은 이와 관련, 27일 인허가 등 각종 개발·규제 이슈가 많은 경기도의 공무원들을 상대로 특강을 실시할 예정이다. 이석우 선임기자 jun88@seoul.co.kr

보안솔루션 전문기업 ㈜에스엠프로(대표 유재은)가 ㈜비젯(대표 장건)과 직접접근제어 시스템 ‘에스닥(SDAC)’의 보안 및 관리기능을 보강한 업그레이드 제품을 선보인다고 12일 밝혔다. 직접접근제어 솔루션 에스닥(SDAC)은 금융권 전산망 마비 및 올해 초 발생한 대규모 개인정보 유출 사태 등에서 여실히 드러난 원격접근제어시스템의 한계점을 보완하기 위해 개발됐다. 두 사건 모두 사상 최악의 보안사고로 평가되는데, 사고 원인은 서버 유지보수를 수행하는 외주업체 직원관리, 즉 정보시스템의 직접접근에 대한 관리 부재로 밝혀졌다. 직접접근제어시스템 에스닥(SDAC)은 안전행정부의 정부통합전산센터(NCIA)가 ‘e-안시성’ 프로젝트를 통해 구축한 솔루션이기도 하다. 이에 기존의 NCIA에서 사용되던 에스닥(SDAC)에 다양한 기능을 업그레이드하여 새롭게 출시한 것. 원격접근제어시스템은 모든 단말기가 게이트웨이를 통해서만 접속할 수 있어 온라인 접속에 대한 통제만 가능하다. 반면, 에스닥 솔루션은 외주인력이 전산시스템에 직접 접속하는 경우 4단계에 걸친 사용자 인증 과정에서 전용 단말기를 사용하도록 하므로 모든 IT 정보시스템의 접속 내용 감시와 통제가 가능하다. 즉, 휴먼에러로 인한 보안사고를 미연에 방지할 수 있는 것이다. 유재은 에스엠프로 대표이사는 “금융권 전산망 마비 사태와 카드사 개인정보 유출 사고에서 드러나듯 보안 사고의 90%는 사람에 의해 일어난다”며 “서버실에 출입하는 인력에 의한 보안 사고 예방에 초점을 맞춘 직접접근제어시스템이 필요한 시점”이라고 말했다. 나우뉴스부 nownews@seoul.co.kr

마이크로소프트(MS)가 윈도XP 운영체계(OS)의 서비스 지원을 8일부터 종료함에 따라 금융사 자동화기기 보안에 비상이 걸렸다. 최신 드라이버 및 보안 업데이트가 중단되면서 윈도XP를 기반으로 하는 은행의 현금자동입출금기(ATM)와 현금지급기(CD), 카드사 가맹점 등에 설치돼 있는 구형 포스단말기가 각종 악성코드와 바이러스 노출에 취약해지기 때문이다. 금융당국은 은행의 지점별로 윈도7 등 상위 버전의 OS를 설치한 ATM을 최소 1대 이상 설치하도록 했지만 대비는 미흡한 상태다. 이날 금융권과 금융감독원에 따르면 전국의 은행에서 설치해 운영하고 있는 ATM, CD 8만 7082대 가운데 8만 1929대(94.1%)가 윈도XP를 사용하고 있다. MS가 이미 4년 전부터 윈도XP의 서비스 지원 종료를 예고했지만 운영체계 업그레이드나 기기 전환이 제대로 이뤄지지 않은 것이다. 각 은행들은 서둘러 업그레이드를 하고 있지만 예산과 일정의 문제로 교체 작업은 더딘 상태다. 업그레이드 작업이 비교적 간단한 개인용 컴퓨터와 달리 상위 운영체계를 지원하지 않는 ATM이나 CD는 한 대당 1500만~2000만원을 들여 기기 자체를 교체해야 한다. 이 때문에 상당수 은행은 당장 ATM을 교체하는 대신 해킹 사고를 막기 위한 보안 프로그램을 강화하고 있다. 국민은행 관계자는 “외부망에서 ATM 접근을 제한할 수 있도록 보안 솔루션을 설치했다”고 말했다. 기업은행과 외환은행도 ATM에 인터넷망 접근을 차단하고 별도의 백신 프로그램을 돌려 악성코드를 걸러내는 작업을 하고 있다. 하지만 윈도XP를 기반으로 하고 있는 운영체계를 그대로 두고 보안만 강화하는 것은 근본적인 대책이 아니라는 지적이 많다. 보안 프로그램 개발업체인 I사의 최연목 소장은 “오는 5월 상위 버전인 윈도7과 윈도8이 업데이트되면 업데이트에서 제외되는 윈도XP의 취약점은 노출되면서도 이에 대한 보안 패치는 제공되지 않아 악성코드 등에 더욱 취약해질 수 있다”고 말했다. 금융당국은 ATM이 폐쇄 시스템을 쓰고 있어 보안 사고 발생 가능성이 적다면서도 만일의 사태를 대비해 2017년까지 은행과 카드사 등 각 금융사에 윈도XP 상위 버전으로 전환할 것을 지시했다. 금감원은 이달 안에 윈도XP 기반의 ATM을 운영하는 은행과 상호금융사에 불시 점검을 나갈 계획이다. 금감원 관계자는 “ATM은 폐쇄적인 시스템이어서 해커가 은행 전산망 자체를 뚫지 않는 이상 ATM 자체에서 해킹이 일어나지는 않을 것”이라면서 “미리 대비하지 못하고 관련 보안사고가 발생하면 해당 금융사에 책임을 물을 것”이라고 말했다. 윤샘이나 기자 sam@seoul.co.kr

안전행정부는 11일 공무원 가운데 사이버안보와 정보보호 문제를 다루는 ‘정보보호직’을 신설해 당장 올 하반기부터 경력자를 뽑겠다고 밝혔다. 하지만 지난해 신설한 ‘방재안전직’은 올해도 신규 또는 경력 채용을 전혀 하지 못하는 상황이어서 각종 사건·사고에 대응하기 위해 즉흥적으로 공무원 직렬을 신설한다는 비판이 제기되고 있다. 안행부 관계자는 지난해 발생한 각종 사이버테러와 날로 지능화하는 국가 사이버 안보 위험에 적극 대응하기 위해 전산직렬 내 전산개발, 전산기기, 정보관리 직류에 더해 정보보호 직류를 신설한다고 설명했다. 정보보호직 공무원 선발을 위해 현재 시험과목을 추리고 있으며 올 하반기에 우선 경력 채용을 한다는 게 안행부의 계획이다. 하지만 방재안전직의 경우 2013년 신설돼 5급 전형은 재난관리론, 안전관리론, 도시계획, 물리학개론 등의 시험과목을 정했으며 2014년 5, 7, 9급을 뽑는 것으로 예정됐다. 하지만 실제 올해 채용 계획은 0명이다. 소방방재청 관계자는 “각 부처에 방재안전직에 대한 수요를 조사한 결과 겨우 3명에 불과했고, 대학에 관련 과목이 거의 개설돼 있지 않아 시험 문제를 낼 만한 교수도 없다”고 현재 상황을 설명했다. 방재안전직은 직위 신설 전에 따로 수요조사가 없었으며, 급증하는 재난사고에 발빠르게 대처한다는 명목으로 급히 만들어졌다. 하지만 만들어 놓고 보니 수요가 없어 채용조차 불가능한 ‘무용지물’ 직렬이 된 셈이다. 정보보호직 역시 최근 각종 보안사고가 급증한다는 판단에 따라 만들어졌지만 이미 각 행정기관에 전산직 공무원들이 있기 때문에 실제 정보보호 전문 공무원 인력이 얼마나 필요한지는 알 수 없는 상황이다. 최무현 상지대 행정학부 교수는 “사회적 환경 변화에 따라 공무원 직렬을 새로 만드는 것은 바람직하지만 정원이 얼마나 필요한지 따져 보는 등 인력 선발 계획을 먼저 세우고 직렬을 만들어야 한다”고 지적했다. 안행부 관계자는 “보통 새로운 공무원 자리를 만들 때 시험 과목을 선정하고 선발 정원을 결정한 뒤 공고를 내기까지 2년의 유예기간을 둔다”면서 “지난해 2월 신설한 방재안전직은 올해 선발 정원을 확보해 내년부터 본격적으로 신규 채용을 하려고 했다”고 해명했다. 윤창수 기자 geo@seoul.co.kr 오세진 기자 5sjin@seoul.co.kr

카드사 개인정보 유출 사태로 정보 보안 필요성이 강조되면서 정보기술(IT) 보안 및 카드 재발급 관련 기업의 주가가 급등하고 있다. 이들 보안주는 테마주로 개인정보 유출 사태가 진정되면 다시 주가가 크게 떨어질 가능성도 있어 투자에 주의해야 한다. 정보보안 및 금융 IT 서비스 업체인 이니텍, 카드 재발급 관련 칩을 생산하는 아이씨케이, 국내 최대 신용카드 제조업체인 바이오스마트 등은 21일 모두 상한가를 기록했다. 이날 이니텍은 565원(14.93%) 오른 4350원, 아이씨케이는 355원(14.85%) 오른 2745원, 바이오스마트는 395원(14.85%) 오른 3055원에 각각 거래를 마쳤다. 반면 정보 유출 사태의 중심에 있는 KB금융 주가는 이날 개장 후 크게 떨어졌으나 오후 들어 오름세로 돌아서 전 거래일보다 200원(0.51%) 오른 3만 9250원에 장을 마감했다. 유진호 우리투자증권 연구원은 “이니텍은 최근 금융권의 보안사고로 금융회사들이 관련 투자를 늘릴 것으로 보여 수혜가 기대된다”고 분석했다. 이니텍은 국내 금융기관 대상 보안 사업 시장점유율 1위사다. 김진아 기자 jin@seoul.co.kr

2015년 3월 29일 일요일. 아직 싱글 생활을 즐기고 있는 최씨는 갑자기 돈을 빌려달라는 친구의 메시지를 받는다. 메신저 피싱이 아닐까 잠깐 의심했지만 자신의 집과 가족관계는 물론 어제 간 식당까지 알고 있는 그에게 최씨는 500만원을 입금한다. 두 시간 뒤 경찰에서 메신저 피싱이 의심된다는 문자를 받고서야 “아차”했다. 카드사와 통신사를 통해 일기장처럼 정리된 최씨의 생활 정보가 유출되면서 발생한 결과다. 빅데이터(Big Data) 사회가 현실화되고 있다. 어디서 카드를 쓰는지, 봤던 책이 무엇인지, 다녀온 여행지는 어딘지 등 이제까지 정리되지 않았던 개인 정보가 착착 정리되고 있다. 최근 한 카드사는 최고경영자와 청담동 며느리의 추천 맛집 정보를 제공하고 있다. 주거지역과 소득수준, 카드사용액 등을 데이터로 소비자들을 세분화한 것이다. 기업 입장에서 마케팅 대상이 세분화되는 것만큼 반가운 일은 없다. 문제는 세분화된 정보가 새어나갔을 때 이제까지와는 차원이 다른 피해가 발생할 수 있다는 점이다. 이전에 빠져나간 정보가 기껏 이름과 휴대전화번호, 인터넷 아이디 정도였다면 앞으로 빠져나갈 정보는 카드 이용내역, 병원 이용내역, 주활동 지역, 가족 현황 등 구체적인 생활이 드러나는 정보가 된다. 좀 더 치명적인 정보가 될 수 있다는 의미다. 신종호 숭실사이버대학교 정보보안학과 교수는 “빅데이터를 활용해 만든 정보에는 직업과 소득, 생활방식 등이 구체적으로 드러날 수 있다”면서 “이런 것들이 유출돼 악용된다면 피해 정도가 현저하게 커질 수 있다”고 경고했다. 그는 이어 “현재 마구잡이로 정보를 빼가던 해커들이 자신들이 원하는 정보만 선별해서 콕콕 찍어갈 수 있다는 것도 문제”라고 덧붙였다. 특히 계속되는 해킹사태는 이런 불안감을 더욱 키우고 있다. 지난 20일 KBS와 MBC를 비롯한 방송사들과 신한은행, 농협은행 등 주요 금융기관들이 해커들에게 털리는 상황이 발생했다. 개인정보를 다루는 기관들이 해커들의 공격을 받는 일은 이미 한두 번이 아니다. 2008년 1800만명의 개인정보가 털린 옥션 해킹사건에 이어 2011년 SK커뮤니케이션즈 3500만명, 온라인 게임업체 넥슨 1322만명 등 수천만명의 개인정보가 이미 털려 있는 상태다. 손상영 정보통신정책연구원 박사는 “빅데이터를 마케팅에 활용하는 방법에 대한 관심은 높지만 이 과정에서 발생하는 프라이버시 침해와 정보의 소유권 문제는 아직 논의조차 제대로 이뤄지지 않고 있다”면서 “최근의 보안사고도 이런 문제의식의 부재 때문에 발생한 것”이라고 꼬집었다. 김동현 기자 moses@seoul.co.kr [용어 클릭] ■빅데이터 종래의 방법으로는 수집·저장·검색·분석이 어려웠던 방대한 데이터. 정보처리기술 발달로 빅데이터 분석을 통한 사회·경제적 활용 가능성이 확대되고 있다. 최근에는 데이터의 수집과 분석 과정에서 개인사생활 침해와 해킹 위험 등에 대한 우려의 목소리도 커지고 있다.

정부조직법 개정안이 우여곡절 끝에 국회에 제출된 지 51일 만인 22일 본회의를 통과했다. 박근혜 정부도 이날부터 정상적인 새 정부의 공식 출범을 알렸다. 국회는 오후 본회의를 열어 미래창조과학부와 해양수산부를 신설하는 내용의 정부조직법 개정안 등 정부조직 개편과 관련한 법률 41개를 모두 처리했다. 여야 합의로 본회의에 상정된 법률안은 재석의원 212명 가운데 찬성 188명, 반대 11명, 기권 13명으로 가결 처리됐다. 이에 따라 박근혜 정부는 이명박 정부의 15부 2처 18청에서 17부 3처 17청으로 확대 개편됐다. 이에 앞서 국회는 문화체육관광방송통신위원회(문방위)와 행정안전위원회(행안위), 법제사법위원회(법사위)를 잇따라 열어 정부조직개편 관련 법률안을 소관 상임위원회별로 처리했다. 새누리당 의원들이 처리 과정에서 ‘기권’을 선언하며 불편한 심기를 내비치기도 했지만, 통과는 속전속결로 이뤄졌다. 새누리당 의원들이 반발한 것은 전날 밤 여야 원내대표단이 민주당 측 주장을 반영하는 수정안을 마련했기 때문이다. 여야는 앞서 지난 17일 원내대표 간 정부조직 개편 관련 합의문을 작성하며 극적 타결을 이뤘다. 그러나 소관 상임위인 문방위에서 합의문구 해석을 놓고 이견을 좁히지 못해 다시 여야 대치 상황이 빚어졌다. 결국 새누리당이 한발 물러서는 모양새로 여야는 합의에 이르렀다. 이날 정부조직법 개정안이 국회에서 처리되면서 미래부와 해수부가 신설되고 경제부총리직이 5년 만에 부활했다. 통상 분야의 이관 문제로 진통을 겪었던 외교통상부는 외교부로 축소됐다. 지식경제부는 외교통상부로부터 ‘통상’을 넘겨 받으며 산업통상자원부로 확대됐다. 행정안전부는 ‘안전’을 중시한다는 박 대통령의 복안에 따라 ‘안전행정부’로 이름이 바뀌었다. 보건복지부 외청이었던 식품의약품안전청은 먹거리 안전 강조 차원에서 국무총리실 소속 식품의약품안전처로 격상됐다. 특임장관실은 폐지됐다. 중소기업청은 ‘중견기업 정책’과 ‘지역특화발전’ 기능이 추가되면서 위상이 높아졌다. 농림수산식품부는 수산 업무가 해수부로 넘어가면서 농림축산식품부로 이름을 바꿔 달았다. 최대 쟁점이었던 종합유선방송사업자(SO) 업무는 대통령직인수위원회 원안대로 미래부로 넘어갔다. 대신 민주당이 주장한 방송의 공정성 담보 방안 차원에서 SO 인허가 시 방송통신위원회의 사전 동의을 받도록 하는 견제장치를 달았다. 한편 국회사무처는 최근 언론사·은행 전산망 해킹 사태에 따른 보안사고 예방 차원에서 이날 본회의장 컴퓨터의 인터넷 접속을 차단하기도 했다. 이영준 기자 apple@seoul.co.kr

개인정보 유출 등 금융회사의 정보기술(IT) 관련 보안사고가 끊이지 않는데도 손해보험사들의 IT 전담 인력이 턱없이 적은 것으로 드러났다. 전체 직원 대비 IT 인력 비율이 0%대인 곳도 두 곳이나 됐다. 손보사보다는 낫지만 IT 인력 비율이 기준치에 못 미치기는 은행권도 마찬가지였다. ‘정보 보안 불감증’이 여전하다는 방증이다. 9일 국회 정무위원회 조원진 새누리당 의원이 금융감독원에서 받은 ‘금융회사별 IT 인력 비율 현황’(올 7월 기준)에 따르면 손보사 17곳의 평균 IT 인력 비율은 직원 전체의 2.8%에 그쳤다. 심지어 A손보사는 0.7%, B손보사는 0.9%였다. 은행(17곳)은 평균 4.9%, 생명보험사(24곳)는 5.7%, 증권사(41곳)는 6.5%로 각각 조사됐다. IT 예산에서 정보보호 예산이 차지하는 비중도 손보사가 평균 10.1%로 금융회사 가운데 가장 낮았다. 이어 생보사 11.7%, 은행 11.2%, 증권사 10.2% 순서였다. 지난해 11월 전자금융감독규정 개정에 따른 정보보호 강화 시책으로 금융회사는 전체 직원수 대비 5% 이상 자체 IT 인력을 확보하도록 하고 있다. 또 IT 예산의 7% 이상을 정보보호에 투자하도록 권장하고 있다. 손보사와 은행은 IT 인력 기준에 미달하는 셈이다. 하지만 이는 어디까지나 권고사항이어서 별다른 제재나 불이익이 없다. 금감원 측은 “연말까지 인력을 확충하지 못할 경우 자체 홈페이지에 공지만 하면 된다.”면서 “실질적인 제재가 따르지 않다 보니 개선이 잘 안 되는 측면이 있다.”고 털어놓았다. 손보협회 관계자는 “외주 인력이 제대로 반영되지 않은 탓도 있다.”고 해명했다. 하지만 올 상반기에만 36건의 전산장애가 발생한 데다 4건의 디도스 및 해킹 공격이 일어난 점을 감안하면 안일한 대처라는 목소리가 높다. 백민경기자 white@seoul.co.k

대한민국 공군에서 황당한 보안사고가 발생했다. 간추리면 갓 부임한 공군 작전사령관이 업무파악을 하기 위해 대출한 군사기밀문서 2건을 당번병이 폐기처분했고, 군은 6개월 뒤 이 사실을 알게 됐으며 그로부터 3개월 뒤인 지난 9월 기무사령부에 신고했다는 것이다. 보안이 생명인 군의 일 처리로는 상상이 가지 않는다. 동네 구멍가게 수준에도 못 미친다. 이번 사고는 보안 무감각의 군 현실을 적나라하게 보여준다. 이영만 공군 작전사령관은 지난해 12월 24일 공군 작전계획처에서 ‘작전계획 3600-06’ ‘작전명령 2500’ 등 비밀문건 2건을 빌려 집무실에 보관해 왔다. 당번병이 보안점검의 날인 같은 달 29일 선반 위에 있던 문건을 폐기처분했고, 같이 있던 영관급 간부는 별다른 조치를 취하지 않았다고 한다. 비밀서류를 철한 바인더 표지에는 ‘군사기밀2급’ ‘군사기밀3급’이라고 적혀 있었다고 하니 군 간부가 조금만 주의를 기울였으면 막을 수 있는 일이었다. 더욱 한심한 것은 작전계획처가 올 4월과 6월 문서정리를 하다 분실 사실을 알게 됐으며 군은 3개월 이상 쉬쉬하다 지난 9월에야 기무사에 알렸다. 사건발생 9개월 만이다. 다행히 비밀문건은 CC(폐쇄회로)TV를 통해 폐지수거트럭으로 들어간 것이 확인됐다. 작전명령 2500은 그렇다손 치더라도 작전계획 3600은 전쟁이 발발하면 적의 목표지점을 어떻게 타격할 것인지를 담은 2급기밀이다. 만약 적에게 넘어갔으면 우리의 전시 작전계획이 그대로 노출될 뻔했다. 해이해진 보안의식에 경종을 울리기 위해서라도 이번 사건 관련자에 대해서는 엄중히 책임을 물어야 한다. 경위 및 진상을 규명한 뒤 계선상 지휘관, 참모 등은 지위고하를 가리지 말고 문책해야 한다. 강등 등 군에서 할 수 있는 강력한 조치를 취해야지, 그러지 않으면 이처럼 어처구니없는 보안사고가 재발할 수밖에 없다. 위기는 조그만 틈을 뚫고 들어와 큰 구멍이 되는 법이다. 군 기밀취급자들에 대한 보안교육을 더욱 철저히 하고 재발방지책도 마련해야 한다. 군 당국도 쓸데없는 것까지 군사기밀로 묶어 둘 것이 아니라 분류기준을 엄격히 해 기밀에 대한 경각심을 한층 높여야 할 것이다.

3·4디도스, 현대캐피탈 정보유출, 농협 전산망 해킹 등 줄지어 일어나는 보안사고로 사이버 대한민국의 체면이 말이 아니다. 초고속망과 스마트폰으로 정보화가 가속화되고, 소셜네트워킹으로 개인정보의 노출이 심각해지고 있는 터에, 믿었던 금융권마저도 어이없게 구멍을 드러내 더는 방치할 수 없는 수준에 이르고 있다. 정부는 금융권 특별감사를 실시하고 보안을 강화하겠다고 공언하지만, 한번 잃은 신뢰를 회복하기는 쉬울 것 같지 않다. 오히려 공격의 진원지와 배경도 정확히 분석하지 못하고 있어 불안만 증폭되고 있다. 범죄 조직이 연루된 해킹이 우려되고, 언제 어떤 사건이 터질지 조마조마하다. “범죄 조직이 해커와 손잡고 사건을 일으키기 시작했다.”라는, 상하이에서 만난 중국 해커의 이야기가 생각난다. 그러나 정보보호가 족쇄가 되어 정보화의 발목을 죌 수는 없다. 이제라도 상황을 정확히 분석하고 해결책을 찾아야 한다. 이를 위해 연이어 발생하는 해킹 사건들을 거울삼아 우리나라의 정보보호 환경을 점검해 보는 일이 급선무일 것이다. 우선 기업의 정보보호 환경이 열악하다. 많은 기업은 고객의 정보를 다룰 자격조차 갖추고 있지 않다. 정보보호에 관심조차 없는 기업이 많고, 대부분은 ‘설마병’에 걸려 있어 이웃은 당해도 ‘나’는 당하지 않을 것이라는 막연한 기대 심리를 갖고 있다. 현대캐피탈은 정보보호 인프라를 갖추고도 보안 관리의 부실로 호되게 당했다. 설마병의 결과다. 설마병이 치유된다 해도, 대부분 기업에서 보안 조직의 위상이 지나치게 낮아 문제가 된다. 주기적으로 비밀번호를 바꾸려면 ‘지시’보다는 ‘부탁’을 해야 할 지경이기 때문이다. 한 사람의 실수와 취약점이 전체를 흔드는 보안의 특성상 이는 적절치 않다. 정보보호 업무는 최고경영자(CEO)의 직속 부서에서 담당하거나 감사실에서 추진할 때 실효성이 있다는 주장이 설득력이 있어 보인다. 정부도 해킹 사건이 나면 특별 보안 점검을 하는 등 법석을 떠는 뒷북치기보다는 예방정책을 시행해야 한다. 국민의 재산권을 보호하고 사회 질서를 유지하는 차원에서 정보보호가 다뤄져야 한다. 특히, 해킹 탓에 경제생활과 직결된 금융권의 신뢰와 질서가 무너진다면 이는 단순히 금융권만의 문제가 아니라는 사실을 간과하지 말아야 한다. 그럼에도, 최근 몇 년 동안에 정부는 정보보호 인력을 양성하는 대학 연구센터의 수를 줄이고 한국전자통신연구원의 정보보호 기술본부를 해체했다. 우리의 정보보호 기술이 이미 수준급이어서 민간 기업의 개발력만으로도 충분하다는 것인지, 아니면 정보보호 기술을 포기하겠다는 것인지 진의를 판단할 수 없다. 문제는 정부가 정보보호 인력 양성과 연구 개발에서 후퇴하고 있다는 점이다. 정보보호의 가장 큰 문제는 소비자 자신이다. 정보 유출의 최종 피해자가 자신임에도 이를 심각하게 여기지 않는 소비자 정서가 문제가 된다. 지금까지 대규모 개인정보의 유출이나, 상당한 해킹 피해가 다수 있었음에도 해당 기업은 꿋꿋하게 존재한다. 기업은 해킹으로 입은 손실과 정보보호를 위한 투자 규모를 견주고 있다는 사실을 소비자는 기억해야 한다. 해킹이라는 시한폭탄을 안은 기관은 비단 금융권만은 아니다. 의료·국방·에너지 분야 등 거의 모든 분야에서 해킹은 심각한 결과를 초래할 수 있다. 의료정보의 대량 유출에 의한 사회 혼란, 스턱스넷에 의한 국가 기간 시설의 파괴, 해커에 의한 국가 기밀의 유출 등은 걷잡을 수 없는 피해를 일으킬 수 있다. 정보보호가 결여된 정보화는 지뢰밭을 걸어가는 것과 다름없다. 이제라도 각 기업의 정보보호 환경을 재정비하고 해킹과 맞서는 것이 절실한 과제다. 성장을 위해 마케팅에 투자한다면, 그 성장을 지속하려면 정보보호에 투자해야 한다. 하루빨리 완벽한 정보보호 환경을 조성하지 않으면, 어렵게 이룩한 기업도, 사회도 바닷가의 모래성처럼 무너져 버리게 될 것이기 때문이다. 그 성장을 지속하려면 정보보호에 투자해야 한다. 하루빨리 완벽한 정보보호 환경을 조성하지 않으면, 어렵게 이룩한 기업도, 사회도 바닷가의 모래성처럼 무너져 버리게 될 것이기 때문이다.

지난해 7월부터 인터넷뱅킹에서 공인인증서를 사용할 의무가 사라졌다. 이런 사실을 아는 이는 많지 않다. 스마트폰뱅킹을 비롯한 대부분의 전자거래에서 공인인증서를 여전히 요구하고 있다. 공인인증서를 사용하지 않게 된다면 은행 사이트에 접속했을 때 액티브X를 통해 은행이 요구하는 자체 보안 프로그램을 내려받는 과정이 없어지게 된다. 그동안 액티브X는 마이크로소프트(MS) 전용 브라우저인 인터넷익스플로러(IE)에서만 구동되기 때문에 소비자들의 브라우저 선택권이 제한되며, 보안업계 전반의 발전을 해친다는 지적이 있었다. 오픈웹의 김기창 고대법대 교수와 이민화 전 기업호민관이 논의를 주도했고, MS 운영체제가 아닌 맥 운영체제를 쓰는 아이폰이 보급되면서 결국 공인인증서 사용 의무가 폐지됐다. 김인성 IT칼럼니스트는 25일 서울신문과 가진 인터뷰에서 여기에 더해 공인인증서 체제가 보안 측면에서도 취약하다고 지적했다. 2009년 분산서비스거부(디도스) 공격부터 최근 농협 전산장애 사태까지 국내 보안사고에서 툭하면 서버가 공격을 당하는 이유가 여기에 있다는 것이다. 김 칼럼니스트는 “외국의 보안이 기관 사이트를 통제해 서버 관리에 만전을 기하는 식이라면, 국내는 기관 사이트의 허점을 방치한 채 개인만 통제하는 식”이라면서 “공인인증서로 사용자들은 불편해지지만, 사이트 보안은 전혀 이뤄지지 않고 있다.”고 강조했다. 이 상태로는 보안 분야에 돈을 아무리 쏟아부어도 보안업체의 배만 불릴 뿐 근본적인 해결은 안 된다고 했다. →농협 전산장애 사고를 전후해 피싱사이트가 출현했다. 사고 원인은 수사를 지켜봐야겠지만, 피싱사이트의 발빠른 움직임에 혀를 내둘렀다. -피싱사이트를 통해 고객 정보를 빼내는 것은 중국 쪽 해커집단의 돈벌이 수준이 된 지 오래다. 인터넷뱅킹을 하려고 하면 은행에서 보안 프로그램을 다운받게 한다. 해커들은 유사 사이트를 만들고 보안프로그램으로 위장한 바이러스를 다운받게 한다. 이렇게 해서 좀비가 된 PC가 국내에 100만대 이상으로 추정된다. 좀비PC들은 해커의 명령이 떨어지면 특정 사이트에 한꺼번에 접속을 시도, 마비시킨다. 트래픽이 집중돼 서비스가 불가능해지면 해커는 돈을 요구하고, 속도가 생명인 게임업체들은 대부분의 경우 이 협상에 응할 수밖에 없다. 우리의 보안은 보안이 아니다. →유독 우리가 국제 해커들의 먹잇감이 되는 이유가 있는가. -국내 인터넷의 보안시스템이 세계 표준과 다르기 때문이다. 근본적으로 해외 사이트가 스스로의 안전성을 증명하는 체계라면, 국내는 개인들이 사이트에 접속할 때 본인이 맞다는 것을 사이트에 증명해야 한다. 예를 들어 웹메일인 지메일(gmail) 사이트에 접속하면, 사이트 주소가 http://에서 https://(안전전송규약·SSL)로 바뀐다. 뒤에 붙는 s는 이 사이트가 정확한 사이트이니 믿고 이용하라는 표시로, 공인인증기관이 증명해 주는 신호이다. https://를 보고 사용자들은 추가 소프트웨어를 다운받을 필요 없이 안심하고 거래를 할 수 있다. 한국의 보안 방식은 이와는 달리 사이트는 안전하다고 일단 가정을 하고, 개인 사용자에게 자기들만의 보안 프로그램·키보드 해킹방지 프로그램·바이러스 백신 등을 다운받게 한다. 이것도 모자라 공인인증서를 요구한다. 액티브X를 다운받는 동안 사용자 컴퓨터는 보안에 완전히 취약한 상태가 된다. 시작 단계에서부터 보안이 무너져 있는 것이다. →안전연결은 국내만 채택을 안 한 것인가. -대부분의 국가에서 채택했다. 1990년대 중반까지 미국은 보안방식으로 복잡한 암호화 기법을 쓰지 못하게 했고, 해독 불가능한 암호화 방식은 수출도 금지했다. 그래서 우리가 독자적으로 만든 게 공인인증서다. 이후 해외에서는 사용자가 웹사이트에 보안접속을 시도하면 웹브라우저가 인증기관에 의뢰해 이상이 없다는 답을 받고 안전전송 규약을 허용하는 체제가 자리잡았다. 국내는 이를 받아들이지 않고, 개인에게 부담을 더 지우는 쪽으로 보안이 발전했다. 은행과 같은 기관이 서버관리를 제대로 하고 있는지 감시하는 곳은 없다. 이게 툭하면 보안사고가 일어나고, 서버 공격이 이뤄지는 이유다. 다른 문제도 있다. 우리 상황에서 보안업체들은 은행이나 공공기관에 납품 경쟁을 벌인다. 이 시장을 확보하면, 개인은 선택권을 갖지 못한 채 일방적으로 사이트 방침에 따라 다운로드를 해야 한다. 해외는 웹브라우저에 기본 보안 프로그램이 장착되고, 개인이 브라우저를 선택하는 구조이다. 그래서 기본적으로 보안 프로그램이 싸고, 그러면서도 개인 고객을 대상으로 성능 경쟁이 계속된다. →아이폰 도입과 함께 한 차례 공인인증서 폐지운동이 있었다. -결론적으로 스마트폰 도입 뒤에도 공인인증서 체제는 살아남았다. 이것은 새로운 문제로 이어질 수 있다. 예컨대 제2금융권은 스마트폰의 새로운 버전에서 구동시킬 공인인증서 보안체제를 개발할 자금이 부족할 것이다. 결국 이들은 보안을 외주에 맡기거나 스마트폰뱅킹 시장에 진출하기 어려울 것이다. 만일 국제 표준방식을 채택했다면, 2금융권 업체도 투자비용 없이 스마트폰뱅킹 시장에 진입할 수 있을 것이다. 국제 표준방식은 과거의 소프트웨어 뿐 아니라 미래의 어떤 플랫폼에서도 지원이 되도록 만들어져 있다. 스마트폰 운영체제 새 버전이 나왔다고 보안업체가 추가 개발 비용을 요구할 근거가 사라진다. →공인인증서 보안 체제 때문에 우리가 잃는 것이 또 있는가. -이 방식은 전체적으로 우리나라 전자상거래를 죽이고 있다. 물건을 하나 사는데 다른 나라와 달리 공인인증서를 요구하니 어떻게 물건을 팔 수 있겠나. 온라인에서는 오프라인처럼 해외진출을 할 때 막대한 투자를 하기보다 언어만 바꿔서 손쉽게 이동할 수 있어야 하는데, 한국만의 특수한 보안 방식은 이것을 불가능하게 한다. 커다란 세계 시장을 곁에 두고 중소기업들이 굶어 죽고 있다. 수출탑을 수여할 정도로 수출에 목 매는 나라에서 온라인 시장의 개방에 대해서는 왜 이런 모습인지 모르겠다. 홍희경기자 saloo@seoul.co.kr ■ 김인성 IT칼럼니스트는 ▲46세 ▲서울대 컴퓨터공학과 졸업 ▲리눅스 시스템으로 초기 엠파스 사이트 구축 ▲전 리눅스원 개발이사 ▲현 KT 계열 네트워크 장비업체 컨설팅 ▲저서 ‘한국IT산업의 멸망’, ‘리눅스 디바이스 드라이버’(공동번역), 잡지 ‘마이크로소프트웨어’에 칼럼 연재

올해는 소셜네트워크서비스(SNS)나 스마트폰 사용자를 노린 악성코드가 심각한 보안위협으로 떠오를 전망이다. 안철수연구소는 3일 이 같은 내용을 담은 ‘2011년 예상 7대 보안위협 트렌드’를 발표했다. 연구소 측은 올해 SNS 플랫폼을 겨냥한 악성코드가 심각한 위협이 될 것으로 예측했다. 친구 또는 유명인에 대한 SNS 검색결과를 조작해 가짜 페이지나 악성코드 유포사이트로 유도할 수 있다는 것이다. SNS로 좀비PC를 대량 확보해 과거보다 짧은 시간 안에 디도스(분산서비스거부) 공격 인프라를 구축할 수 있는 위협도 증가하고 있다고 지적했다. 스마트폰 악성코드가 금전을 노리는 형태로 본격 활동할 것이라는 예상도 나왔다. 개인 또는 단말기 정보를 유출하거나 이용자 몰래 전화를 걸어 부당하게 과금하는 악성코드가 증가할 것으로 내다봤다. 스마트폰 화면이 작아 웹사이트 주소 전체를 보기 어렵다는 점을 악용해 가짜 주소를 통해 악성사이트 연결 가능성도 높아지고 있다. 전파로 연결되는 무선인터넷 특성상 도청에 취약하기 때문에 보안사고의 위험이 크다는 지적도 나왔다. 연구소 측은 이란 원자력발전소 시설을 겨냥한 악성코드 ‘스턱스넷’처럼 사회기반시설을 목표로 한 공격이 증가할 것이라는 전망도 내놓았다. 클라우드컴퓨팅 기술을 이용한 좀비PC 관리나 제로데이(소프트웨어의 보안 문제가 알려진 후 해결을 위한 업데이트가 공개되기 전까지의 시점에서 발생하는 공격) 문제도 더욱 심각해질 것으로 예상했다. 신진호기자 sayho@seoul.co.kr

스마트폰에서 개인정보가 유출됐다는 소식이 전해지자 전문가들은 “마침내 터질 것이 터졌다.”는 반응을 보였다. 한국정보보호학회 회원 등 전문가들은 안드로이드폰의 경우 애플리케이션(Application·응용 프로그램)을 통한 개인정보 유출 가능성이 다른 스마트폰보다 월등히 높다며, 정부와 기업이 합동으로 해결책을 모색해야 한다고 입을 모았다. 김승주 성균관대 정보통신공학부 교수는 “스마트폰은 전화번호와 사용자 위치 등 PC보다 훨씬 많은 개인정보를 담고 있는 만큼 보안이 더 중요하다.”며 “그러나 대중화된 지 얼마 되지 않아 보안사고에 취약한 게 사실”이라고 지적했다. 김 교수는 “외국에서는 이른바 ‘앱 게놈 프로젝트(App Genome Project)’를 통해 애플리케이션이 개인정보를 가져가는 현상을 사전에 차단하고 있다.”며 “우리나라도 하루빨리 유사한 사업을 진행해야 한다.”고 말했다. ‘지란지교 소프트’ 이영종 모바일TF 팀장은 삼성이나 LG 등 휴대전화 제조사 차원에서도 개인정보 유출을 막을 수 있다고 설명했다. 휴대전화를 만들 때 애플리케이션이 개인정보를 가져가는 함수를 막아 놓으면 된다는 것이다. 이 팀장은 “안드로이드를 개발한 구글은 모든 정보를 개방하는 게 원칙이어서 이번 사고가 발생했다.”며 “개인정보 유출을 막는 유심(USIM·사용자 범용가입자식별모듈)칩 보급을 확대하는 것도 한 방법”이라고 말했다. 충남대 류재철 인터넷침해대응기술센터장은 “안드로이드폰은 아이폰과 달리 애플리케이션을 검증하는 체계 자체가 없다 해도 과언이 아니다.”며 “정부와 기업이 자체적으로 일종의 ‘안드로이드 웹서버’를 구축하고 필요 이상의 개인정보를 가져가는 것을 막아야 한다.”고 조언했다. 류 센터장은 “최근에는 상대적으로 안전하다고 평가받는 아이폰도 개인정보 유출 사고가 보고되고 있는 만큼, (모든 스마트폰이) 안심할 수 없다.”고 말했다. 임주형기자 hermes@seoul.co.kr

지난 6월부터 전국 지방자치단체 중 처음으로 ‘공무원 재택근무제’를 실시하고 있는 서울 동대문구(구청장 권한대행 방태원)가 재택근무 대상을 확대한다. 동대문구는 현재 육아휴직중인 여성공무원을 대상으로 시범 실시하고 있는 재택근무제를 장애인 공무원과 간병중인 공무원으로 확대·실시한다고 1일 밝혔다. 이번 재택근무 대상자는 총 9명으로 시범기간에 참여했던 6명 중 4명이 연장근무하고 육아휴직자 5명이 추가로 선정됐다. 재택근무 대상 업무는 ▲문화 인센티브사업 ▲공원프로그램운영 및 부서 홈페이지 관리 ▲한시생계보호대상자 조사(2명) ▲65세 이상 노인약제비 및 노숙인 진료비 지원 ▲민원사무편람정비 ▲유기한 민원처리 마일리제 ▲보육지원 아동선정 및 책정 ▲홈페이지 모니터링 및 E-팩스 구민서비스 등 총 8개 사업이다. 재택근무자는 지방공무원 복무규정에 따라 하루 8시간, 주 40시간을 자유롭게 근무할 수 있으며 봉급과 기본 수당이 지급된다. 근무자들은 매일 근무시간과 업무계획, 실적을 온라인으로 관리자에게 보고해야 하며, 3개월 단위의 업무처리 실적 평가가 불량한 경우에는 재택근무가 취소된다. 천영수 정책기획담당과장은 “혹시 모를 보안자료 유출을 예방하기 위해 ‘원격근무 보안대책’을 수립하고 자료유출 방지시스템과 보안사고 방지시스템을 구축했다.”고 밝혔다. 방태원 구청장 권한대행은 “시대가 여성의 능력을 요구하고 있는 만큼 자신의 능력을 발휘할 수 있는 기회를 줘야 한다.”면서 “낮은 출산율을 여성만의 탓으로 돌리지 말고, 사회와 국가가 모두 나서 재택근무 등 현실적인 방법을 찾아야 한다.”고 강조했다. 박건형기자 kitsch@seoul.co.kr

최근 방송통신위원회가 인터넷 보안을 꾀한다며 인터넷 이용자들의 이익을 침해하는 입법을 잇달아 추진 중이다. 때문에 주무부처인 방통위가 다른 해법을 찾기 위한 노력은 하지 않고 무조건 법으로 강제하려고 한다는 비판이 나오고 있다. 방통위는 최근 분산서비스거부(DDOS) 공격 방지를 위한 가칭 ‘악성 프로그램 확산방지 등에 관한 법률’을 만들기 위한 절차에 들어갔다. 지난 ‘7·7 DDOS 공격’ 뒤에 나온 이 법은 KT 등 인터넷서비스사업자(ISP)가 악성 프로그램에 감염된 ‘좀비 PC’를 발견하면 해당 이용자에게 악성 프로그램 삭제를 요청해야 한다. 이용자가 삭제를 거부하면 인터넷 접속을 차단하는 등 제한조치를 할 수 있다. 또 긴급한 침해사고에는 방통위가 ISP에 좀비 PC 등에 대한 인터넷 접속 제한 명령을 내리도록 돼 있다. PC방 등에는 보안 프로그램 설치를 의무화해 백신이 없는 컴퓨터는 인터넷 접속을 제한하는 방안을 검토 중이다. 보안 전문가들은 백신설치 의무화 등으로 인해 보안사고가 방지될 것이라는 의견을 보이기도 했다. 하지만 좀비 PC의 경우 이용자가 스스로 인식하지 못하는 경우가 많아 결국 인터넷 접속이 되지 않는 이용자의 민원이 속출할 것이고, 사업비 지원도 없이 일방적인 보안 프로그램의 설치 의무화는 행정편의주의적인 발상이라는 비판이 나오고 있다. 나아가 시민단체와 인터넷 사용자들은 통신·표현의 자유 및 사생활 침해 가능성에 대해 우려를 표명하고 있다. 한 보안업체 관계자는 “정부의 홈페이지조차 악성 코드로 활용될 수 있는 ‘액티브X’를 남발하는 등 근본 원인은 고치지 않은 채 드러난 문제만 없으면 된다는 식의 강제적인 대응을 하고 있다.”고 꼬집었다. 방통위가 무선랜(Wi-Fi)의 보안을 강화하겠다며 통신사업자나 이용자의 보안 의무를 강제화하도록 법 개정이나 제정방안을 검토하겠다고 밝힌 것도 논란이 되고 있다. 방통위는 무선공유기에 비밀번호 등 보안장치를 의무화해 정해진 사람만 사용토록 하겠다는 것이다. 무선랜 역시 보안에 취약한 것은 사실이지만 그렇다고 보안장치를 의무화하는 것은 정부의 과도한 개입이라는 지적이 나오고 있다. 한 네티즌은 “결국 누구나 공짜로 무선 인터넷을 쓸 수 있는 와이파이를 막고 통신업체에 돈을 내야만 하는 무선 인터넷 와이브로나 네스팟 등을 쓰도록 하려는 것 아니냐.”고 꼬집었다. 김효섭기자 newworld@seoul.co.kr

앞으로 지방자치단체에서는 네이버, 다음 등 개인 이메일을 사용하지 못하게 된다.행정안전부는 1일 공문 차원에 그쳤던 지자체 공무원들의 개인 메일 사용금지 등을 행안부 훈령인 ‘정보통신보안업무규정’으로 제도화한다고 밝혔다. 행안부 관계자는 “해킹·바이러스 등 사이버 침투와 내부자에 의한 정보 유출 등에 취약한 지자체 정보시스템의 각종 보안사고에 대비하기 위해 이 같은 방침을 정했다.”고 밝혔다.이 규정에 따르면 시·도, 시·군·구와 행안부 소속 기관들은 다음 등 인터넷 포털사이트의 개인 상용메일 사용이 완전히 금지된다. 이메일은 정부가 운영하는 포털사이트(korea.kr)만 이용해야 한다. 또 매월 사무실내 개인컴퓨터와 네트워크 등에 대해 정기적인 보안 점검도 받아야 한다.행정기관 정보시스템은 사전에 접근허가를 받은 공무원만 접속할 수 있도록 했다. 모든 정보열람 내역은 의무적으로 기록을 남겨야 한다. 이에 대해 공무원노조는 사생활 침해와 지나친 정보통제 우려 등을 이유로 반발하고 있다. 강경근 숭실대 법대 교수는 “보안차원에서 정당성이 있긴 하나 공무원의 개인정보자기결정권을 지나치게 침해할 수 있다.”면서 “기관과 협의해 공적인 업무유출에 대한 개인커뮤니케이션 협약서를 마련해 제재를 가하거나 점심시간에만 사용을 일부 허용하는 등 융통성을 발휘하는 것이 필요하다.”고 강조했다. 강주리기자 jurik@seoul.co.kr