정부가 국가정보자원관리원(국정자원) 대전 본원 화재로 피해를 본 정부 전산시스템이 647개가 아닌 709개라고 뒤늦게 정정했다. 정부 전산망의 연결 구조를 총괄하는 ‘관제탑’ 시스템이 이중화되지 않아 피해 규모조차 제대로 파악하지 못한 채 혼선이 이어진 것이다. 김민재 행정안전부 차관은 9일 중앙재난안전대책본부 브리핑에서 “국정자원 통합운영관리시스템인 ‘엔탑스(nTOPS)’ 데이터가 복구돼 대전센터 전체 시스템 목록을 확인했고, 부처별 검증을 거쳐 709개로 정정했다”고 밝혔다. 엔탑스는 정부24, 우체국 금융 등 공공서비스가 어떤 서버와 연결돼 있는지를 관리하는 총괄 시스템으로, 이번 화재로 중단됐었다. 정부의 피해 시스템 정정은 이번이 두 번째다. 행안부는 지난달 26일 화재 직후 “화재로 직접 피해를 본 시스템은 70개”라고 발표했다가 하루 만에 96개로 수정했다. 당시 행안부는 “서버 저장용량 변동 등으로 현황 파악이 어려웠다”고 설명했다. 김명주 서울여대 정보보호학과 교수는 “엔탑스는 재난 복구의 핵심 시스템이지만 예산 부족으로 이중화가 미흡했다”며 “총괄 시스템이 멈추면 새로운 문제가 연쇄적으로 발생해 복구율이 들쭉날쭉하고 국민 불편이 커질 수밖에 없다”고 지적했다. 한편 이날 오후 6시 기준 전체 709개 시스템 중 197개(27.8%)가 복구됐다. 1등급 핵심 시스템은 40개 중 27개(67.5%)가 정상화됐다. 연휴 기간에는 ‘온나라 문서’, ‘온메일’ 시스템, ‘1365 기부포털’, ‘부동산종합공부시스템’(일부) 등이 복구됐다. 윤호중 행안부 장관은 “온나라 문서 복구로 공무원들이 수기로 공문서를 작성해야 했던 불편이 해소됐다”고 말했다.

정부가 국가정보자원관리원(국정자원) 대전 본원 화재로 피해를 본 정부 전산시스템이 647개가 아닌 709개라고 뒤늦게 정정했다. 정부 전산망의 연결 구조를 총괄하는 ‘관제탑’ 시스템이 이중화되지 않아 피해 규모조차 제대로 파악하지 못한 채 혼선이 이어진 것이다. 김민재 행정안전부 차관은 9일 중앙재난안전대책본부 브리핑에서 “국정자원 통합운영관리시스템인 ‘엔탑스(nTOPS)’ 데이터가 복구돼 대전센터 전체 시스템 목록을 확인했고, 부처별 검증을 거쳐 709개로 정정했다”고 밝혔다. 엔탑스는 정부24, 우체국 금융 등 공공서비스가 어떤 서버와 연결돼 있는지를 관리하는 총괄 시스템으로, 이번 화재로 중단됐었다. 정부의 피해 시스템 정정은 이번이 두 번째다. 행안부는 지난달 26일 화재 직후 “화재로 직접 피해를 본 시스템은 70개”라고 발표했다가 하루 만에 96개로 수정했다. 당시 행안부는 “서버 저장용량 변동 등으로 현황 파악이 어려웠다”고 설명했다. 김명주 서울여대 정보보호학과 교수는 “엔탑스는 재난 복구의 핵심 시스템이지만 예산 부족으로 이중화가 미흡했다”며 “총괄 시스템이 멈추면 새로운 문제가 연쇄적으로 발생해 복구율이 들쭉날쭉하고 국민 불편이 커질 수밖에 없다”고 지적했다. 임종인 고려대 정보보호대학원 교수도 “정부가 전산시스템 수조차 제대로 파악하지 못한 건 부끄러운 일”이라며 “확실한 이중화와 민간 협업 대책이 필요하다”고 말했다. 한편 이날 오후 6시 기준 전체 709개 시스템 중 197개(27.8%)가 복구됐다. 1등급 핵심 시스템은 40개 중 27개(67.5%)가 정상화됐다. 연휴 기간에는 ‘온나라 문서’, ‘온메일’ 시스템, ‘1365 기부포털’, ‘부동산종합공부시스템’(일부) 등이 복구됐다. 윤호중 행안부 장관은 “온나라 문서 복구로 공무원들이 수기로 공문서를 작성해야 했던 불편이 해소됐다”고 말했다.

올해 국회 국정감사에 200명에 달하는 국내 주요 기업인이 증인으로 소환될 전망이다. 최태원 SK그룹 회장과 정의선 현대자동차그룹 회장, 정용진 신세계그룹 회장 등 재계 인사들이 대거 국회 출석을 요구받는 등 지난해 기록을 넘어서게 됐다. 8일 재계와 국회에 따르면, 현재까지 파악된 국감 증인 370여명 중 기업인은 190명을 넘어섰다. 증인 채택 절차가 모두 마무리되면 200명을 초과할 것으로 전망된다. 지난해 국감에서는 증인 510명을 채택한 가운데 기업인이 159명으로 역대 최대였는데, 벌써 지난해 기록을 뛰어넘은 것이다. 이번 국감에서 핵심 증인으로 꼽히는 최 회장은 계열사 부당 지원 관련 실태 점검을 이유로 정무위원회 증인으로 채택됐으며 출석일은 28일이다. 그런데 이날은 최 회장이 의장인 대한상공회의소 주관의 아시아태평양경제협력체(APEC) CEO 서밋이 경주에서 개막하는 날이다. APEC CEO 서밋은 미국, 중국, 일본 등 21개 회원국 정상회의와 함께 열리는 아시아·태평양 지역 경제 분야 최대 행사다. 현대차그룹의 정 회장은 협력사인 이수기업의 노동자 집회 및 책임경영 문제로 행정안전위원회에, 정용진 신세계그룹 회장은 중국 알리바바 합작법인의 소비자 정보보호 방안 설명으로 산업통상자원중소벤처기업위원회에 각각 출석을 요구받았다. 이밖에 국토교통위원회는 이해욱 DL그룹 회장과 허윤홍 GS건설 대표 등 10대 건설사 중 8개 사 대표를 불렀고, 이동통신 3사 대표 등이 과학기술방송정보통신위원회에 소환됐다. 법제사법위원회에서는 시진핑 중국 국가주석 방한 관련 예식 취소 논란이 벌어진 호텔신라의 박상오 호텔운영총괄부사장이 증인에 포함됐다.

소방공무원 채용 사이트인 ‘119고시’에서 수험생 5만여명의 개인정보가 유출되는 사고가 발생했다. 소방청은 관리 위탁업체를 상대로 조사에 착수하고 재발 방지책 마련에 나섰다. 소방청은 지난 2일 오후 7시께 ‘119고시’에서 개인정보 유출 사실을 확인하고, 피해를 입은 수험생들에게 관련 내용을 통지했다고 4일 밝혔다. 유출된 정보에는 2024년 10월 3일까지 사이트에 가입한 회원 5만 93명의 아이디, 성명, 생년월일, 휴대전화 번호, 이메일 주소 등이 포함됐다. 사고 인지 직후인 지난 2일 오후 10시 30분부터 사이트 접속은 차단됐다. 소방청은 대체 서비스 이용 방법을 안내하는 한편, 개인정보보호위원회에 관련 사실을 신고했다. 위탁업체를 대상으로는 관계기관 합동 조사를 진행 중이다. 소방청은 이번 사고가 해킹에 따른 것으로 추정하고 있다. 향후 채용 관련 정보 보안 강화를 위해 인사혁신처 통합채용시스템을 활용하겠다는 방침도 내놨다. ‘119고시’는 소방공무원 채용과 관련한 원서 접수, 시험 공고, 합격자 발표, 문제 및 정답 확인 등 채용 절차 전반을 담당하는 사이트다.

새 정부 출범 100일이 지난 가운데 공직 사회의 ‘인사 병목 현상’이 심각한 수준인 것으로 3일 파악됐다. 한번 승진하려면 10년 이상을 기다려야 했고, 일부 부처에서는 특정 직급에 오르기까지 무려 16년이 걸렸다. 정부는 성과 중심의 인사 시스템을 통해 승진 적체 해소에 나서겠다고 했지만 부처 간 불균형과 직급별 병목은 여전히 과제인 셈이다. 서울신문이 입수한 인사혁신처의 ‘행정부처별 평균 승진 소요 연수’ 자료를 보면 5급에서 4급으로 승진하는 데 걸리는 기간은 정부 부처 전체 평균 9년 3개월(지난해 말 기준)이다. 4급에서 3급 승진에는 10년 6개월이 소요되는 것으로 나타났다. 특허청에서는 5급 사무관이 4급 서기관으로 승진하는 데 평균 16년 4개월이 걸렸다. 기획재정부와 해양수산부는 5급에서 4급으로 승진하는 데 13년 4개월이 소요됐고, 국민권익위원회 또한 13년 5개월이 소요됐다. 이는 병무청(5년 3개월), 질병관리청(5년 6개월), 보건복지부(5년 8개월) 등 특정 부처와 많게는 11년 이상 차이나는 수치다. 특히 고위직으로 올라갈수록 인사 적체 현상이 심화하는 건 공무원 조직이 갖는 특수성과도 관련돼 있다는 분석이다. 민간 기업은 임원으로 승진하면 계약직 신분으로 바뀌고 매년 성과 평가를 통해 재계약 여부가 결정되는 구조다. 반면 공무원은 정무직이 아닌 이상, 고위직으로 올라간다 해도 신분 변화가 없기 때문에 한정된 자리를 놓고 극심한 경쟁과 정체가 발생할 수밖에 없다는 의견도 있다. 한 중앙부처 관계자는 “전임 정부에서 임명된 상급자들이 버티고 있으면 새로운 정책 방향에 맞춰 속도감 있게 업무를 추진하기가 어려워 업무가 겉도는 경우도 많다”고 했다. 다른 직급에서도 부처간 차이는 두드러진다. 고위 실무직급인 6급에서 5급으로의 승진을 하려면 조달청 11년 10개월, 고용노동부 11년 9개월 등 10년 이상이 필요했지만, 국무조정실과 국무총리실은 3년 7개월 정도가 소요됐다. 조직의 허리인 7급에서 6급으로의 승진은 전체 평균 8년 5개월이 걸리는 등 인사 병목 현상이 두드러지게 나타났다. 법무부가 10년 7개월로 가장 길었고, 경찰청 10년 5개월, 외교부 9년 10개월 순으로 뒤를 이었다. 세수, 통계 등 핵심 업무를 담당하는 국세청(9년 3개월), 관세청 (9년 5개월), 통계청(8년 4개월) 역시 7급에서 6급으로 승진하는 데 10년 가까운 시간이 걸리는 것으로 조사됐다. 상황이 이렇다 보니 최근 고용부 등 일부 부처에선 격무와 낮은 보상, 불투명한 미래에 절망한 젊은 공무원들의 ‘탈출 러시’가 이어지고 있다. 반면 인사혁신처(2년 4개월), 금융위원회(2년 7개월), 국민권익위원회(2년 9개월), 개인정보보호위원회(2년 9개월) 등 상대적으로 조직이 작은 경우, 승진 속도가 빠른 것으로 나타났다.

이재명 대통령은 2일 개인정보보호위원장(장관급)에 송경희(59) 성균관대 인공지능융합원 인공지능신뢰성센터장, 고준위 방사성폐기물 관리위원장(차관급)에 김현권(61) 전 더불어민주당 의원을 각각 임명했다. 송 위원장은 행정고시 39회로 과학기술정보통신부 소프트웨어정책관·인공지능기반정책관, 국가지식재산위원회 지식재산전략기획단장, 4차산업혁명위원회 지원단장 등을 지낸 관료 출신이다. 제20대 국회의원을 지낸 김 위원장은 대통령 직속 탄소중립위원회 위원, 국회의장 직속 국회국민통합위원회 사회분과 위원 등을 역임했다.

소송과 무관한 개인정보가 포함된 계약서 사진을 법원에 제출한 것은 개인정보보호법 위반이 아니라는 대법원 판결이 나왔다. 6일 법조계에 따르면 대법원 2부(주심 엄상필 대법관)은 성명, 주민등록번호, 주소, 전화번호가 기재된 계약서 사진을 법원에 제출한 행위가 개인정보보호법 위반이라고 판결한 원심을 파기하고 사건을 인천지법으로 돌려보냈다. A씨는 2016년 10월 말레이시아에 있는 한 법인의 광고권을 구매하기위해 B씨를 통한 중개거래계약을 체결했다. 이후 구매대금 문제로 분쟁이 발생하자 손해배상을 청구했고, 패소했다. 재판 과정에서 A씨의 변호인 C씨는 계약서 사진을 서면에 첨부해 재판부에 제출했다. 계약서 사진에는 B씨의 성명, 주민등록번호, 주소, 전화번호 등 개인정보가 들어 있었다. B씨는 개인정보가 포함된 계약서가 법원에 제출된 것을 문제 삼아 변호사 C씨에게 소송을 제기했다. B씨는 C씨가 개인정보가 포함된 계약서를 법원에 제출해 제3자가 열람할 수 있게 된 점이 개인정보보호법 위반이라 주장하며 4000만원의 정신적 손해배상금을 청구했다. 1,2심 재판부는 B씨가 제기한 4000만원의 손해배상금 중 30만원을 인정했다. 2심 재판부는 “계약서가 제출되면서 B씨의 개인정보를 언제든지 열람할 수 있는 상태가 되었다”며 “이는 개인정보보호법이 금지하는 누설 행위에 해당한다”고 판단했다. 재판부는 개인정보 중 성명을 제외한 나머지 부분까지 공개된 채 제출할 필요성이 없다고 봤다. 하지만 대법원은 2심 재판부의 판단을 뒤집고 C씨의 손을 들어줬다. 대법원은 “소송기록의 열람·복사 등 절차에는 개인정보 보호 관련 규정이 적용되므로 개인정보가 소송과 무관한 제3자에게 제공될 위험성이 크지 않다”며 “계약서를 법원에 제출한 행위는 사회상규에 위배되지 않는다”고 밝혔다.

국민체육진흥공단은 1일 2025 가명정보 활용 경진대회에서 최우수상을 수상했다고 밝혔다. 과학기술정보통신부와 개인정보보호위원회가 주최하고 한국인터넷진흥원이 주관한 이번 대회에서 체육공단은 국민체력100 체력측정·인증 데이터와 한국신용정보원 실손보험 데이터를 가명 처리 방식으로 결합해 체력 수준과 민간 의료비 간의 연관성을 분석해 체력 관리가 민간 의료비 절감에 기여할 수 있는 활용 방안을 제시한 점이 크게 인정받았다. 한국스포츠과학원 박세정 스포츠과학연구실장의 주도로 설계한 이번 가명 정보 활용 연구 과제는 국내 최초로 스포츠 분야 공공 체육 데이터와 금융 분야 민간 보험 데이터를 연계한 모델로 그 가치를 인정받고 있다. 이번 연구가 본격화되면 체력 수준 기반 보험료 할인·리워드 모델 등 정책·산업적 활용으로 이어질 것으로 예상된다. 체육공단 관계자는 “국민이 체감할 수 있는 융합 연구를 지속적으로 확대해 체력 관리의 중요성을 널리 알리겠다”라고 밝혔다.

#안정성·보안 함께 다뤄라전산망은 안정성, 해킹은 보안 문제미국은 걸프전 이후 둘을 묶어 대응해킹 탐지·예방·무력화 ‘삼축’ 절실#전산망 복귀 재촉 말아라전원 설비도 이중화했는지 점검을데이터 복원 뒤 무결성도 점검하고시설 미비·판단 착오 여부 따져야#보안 컨트롤타워 세워라 오래전 뚫렸는데 몰랐을 가능성도고도화된 수법 탓 말고 전수조사를국가안보실이 컨트롤타워 역할해야국가정보자원관리원(국정자원) 화재로 정부 전산망이 마비되는 사태가 발생했다. 앞서 SK텔레콤과 KT, 롯데카드에선 해킹과 정보 유출 사고가 잇따랐다. ‘디지털 블랙아웃’에 취약한 초연결사회의 취약성과 민관의 부실 대응이 드러난 것이다. 김승주 고려대 정보보호대학원 교수는 30일 서울 성북구 고려대 미래융합기술관에서 진행한 인터뷰에서 “역대 정부가 전자정부 이용자가 많다는 것만 홍보하고, 정작 안정성과 보안성은 간과했다”고 질타했다. 그러면서 “탐지와 방어, 원천 무력화를 뜻하는 군사 용어인 ‘삼축 체계’를 사이버 보안에 도입하고, 해킹(보안)과 전산망(안정성)을 하나로 다루는 패러다임 전환이 필요하다”며 “어떤 위협이 있어도 시스템이 가동되는 상태를 만들어야 한다”고 말했다. 이어 “국정자원 화재와 관련, 데이터 이중화뿐만 아니라 전원 설비의 이중화도 확인해야 하며 전수조사로 정부 전산망과 데이터센터의 취약점을 잡아 내야 한다”고 밝혔다. 다음은 일문일답. -해킹 사태에 이어 정부 전산망까지 마비됐는데. “패러다임의 실패다. 화재에 따른 전산망 마비는 안정성, 해킹은 보안의 문제다. 한국은 이걸 따로 접근하는 낡은 패러다임에 갇혀 있다. 미국은 걸프전 이후 하나로 접근했다. 모래바람 때문에 통신이 자주 끊겼는데 해킹에 의해서든, 안정성이 부족해서든 통신이 안 되는 건 똑같다는 걸 깨닫고 ‘정보 보안’(Information Security)이 아닌 ‘정보 보증’(Information Assurance)이란 용어를 쓰기 시작했다. 정보보증은 단순히 보안을 지키는 데 그치지 않는다. 시스템이 365일 안정적으로 운영되도록 하는 것까지를 목표로 한다. 보안과 안정성을 함께 확보한다는 의미다.” -정보 보증 패러다임으로 전환하려면. “사이버 보안에도 삼축 체계를 도입해야 한다. 탐지와 방어, 원천 무력화다. 정부는 미국 보안 전문지 ‘프랙 보고서’가 아니었으면 통신사, 정부기관이 해킹에 뚫렸다는 사실도 인지하지 못했을 거다. 심지어 정보기관도 몰랐다. 우선 사이버 탐지 능력을 갖춰야 한다. 두 번째는 해킹을 막아 내는 ‘예방’이다. 무력화는 해킹 집단을 완전히 소탕해서 재발을 막는 것이다.” -정부 전산망이 멈춰 선 원인은. “지금 데이터 이중화만 강조되는데, 전원 설비도 이중화됐었는지 확인해야 한다. 데이터 백업만으론 빠른 복구가 어렵다. 데이터를 백업해도 전원이 꺼지면 모든 시스템이 날아간다. 전원 설비와 자가 발전 시설이 이중화되어 있고 데이터센터의 격벽이 규정대로 설치됐는지 등도 따져 봐야 한다.” -화재 이후 대응엔 문제가 없었나. “화재는 5층에서 발생했는데 다른 층 서버도 모두 꺼졌다. 정부는 ‘배터리에 불이 나 항온항습 장치가 꺼지면서 다른 층도 선제적으로 껐다’고 발표했다. 상식적으로 배터리도 이중화됐다면 독립된 배터리가 가동돼서 다른 층의 항온항습 장치는 정상 작동됐어야 했다. 이중화 미비가 원인인지, 현장의 판단 착오였는지 따져 봐야 한다.” -전산망 복구 시점이 미뤄졌는데. “애초에 빨리 해결될 수가 없다. 데스크톱에 저장된 파일을 외장 하드에 복사했다가 원위치시킨다고 해도 시간이 걸리지 않나. 엄청나게 큰 용량이고 한두 대가 아니다. 복원한 뒤 데이터 무결성도 점검해야 한다. 물이 엎질러졌는데 서두르면 더 큰 문제가 생길 수도 있다.” -1등급 시스템도 복구가 지연됐다. “중요도가 높은 1등급 시스템 복구가 늦어지는 것은 정부가 강하게 질책받을 부분이다. 한국은 인터넷 의존도가 높아 사이버 방어 능력이 취약한 편이다. 프랙 보고서를 보면 공공 부문의 보안은 허술했고, 이번 화재 사건으로 안정성도 형편없었다는 게 드러났다. 전자정부 이용자가 많다는 것만 홍보했고, 안정성과 보안성은 허술했다.” -전산망과 데이터는 100% 복구될 수 있을까. “완전 복구 여부는 데이터 동기화 주기에 달렸다. 복구 시점이 2주에서 4주로 늘어나는 것을 보고 100% 백업됐을지 의문이 생겼다.” -최근의 해킹 사태는 ‘해킹 기술 고도화’가 원인인가. “해킹 수법 고도화 때문이라고 하면 본질이 흐려진다. 고도화된 해킹 기법으로 뚫렸는지 따져 봐야 한다. 롯데카드는 8년 전 보안 업데이트 권고가 있었지만 이를 놓쳤다. SKT는 다른 국가가 배후에 있었던 걸로 추정된다.” -최근 들어 해킹 사태가 잇따라 드러나는 이유는. “오래전부터 뚫려 있었는데 인지하지 못했을 가능성이 있다. SKT는 폐쇄망을 운영한다고 했지만 실제로는 인터넷과 단절되지 않았고 해커는 2021년에 침투했다. 8년간 방치된 롯데카드도 마찬가지다.” -프랙 보고서는 온나라시스템(범정부 업무 시스템) 침투를 지적했는데. “해킹 프로그램이 어디에 설치돼 있는지 아직 모른다. 정부와 공공기관에 대한 전수조사가 시급하다.” -정부 보안 관리 체계가 제각각인 점은 괜찮나. “각 부처의 전문성은 살려야 하지만, 동시에 전체를 한눈에 보고 조율하는 컨트롤타워가 있어야 한다. 국가안보실이 그런 컨트롤타워 역할을 맡아야 하지만, 현재로선 기능이 원활하지 않다.” ■김승주 교수는 1971년생. 성균관대 정보공학과를 졸업한 뒤 동대학원에서 정보보호학 석박사 학위를 받았다. 한국인터넷진흥원에서 암호기술팀장과 보안성평가팀장으로 일했다. 고려대 교수로 재직하며 문재인 정부 대통령 직속 4차산업혁명위원회 위원, 윤석열 정부 대통령 직속 국방혁신위원회 위원을 지냈다. 2023년부터 고려대 디지털정보처장을 맡고 있다.

1년 전 교체 권고 받고도 계속 사용배터리실 설계 문제 보고서도 외면 “관리 부실” 감사원 지적에도 손 놔노후 장비 관리 부실 여전… 공주 데이터센터 18년째 표류 정부가 대전 국가정보자원관리원(국정자원) 화재 원인으로 지목된 리튬이온 배터리와 관련, 1년 전 교체 권고를 받았지만 계속 사용한 것으로 확인됐다. ‘설마’에 기초한 근거 없는 안전불감증이 초유의 국가 전산망 마비를 불러왔다. 뿐만 아니라 배터리실에 방화격벽을 설치해야 한다는 외부 용역보고서와 2023년 정부 전산망 먹통 사태의 교훈도 외면하거나 망각했다. 이번 사태가 단순한 화재가 아니라 무사안일주의가 빚은 ‘예고된 인재(人災)’라는 비판이 거센 까닭이다. 29일 행정안전부에 따르면 화재 원인으로 지목된 무정전 전원장치(UPS)용 리튬이온 배터리는 2014년 8월 설치돼 권장 사용 기간(10년)을 이미 1년 이상 초과한 상태였다. 배터리 모니터링 시스템 설계 업체 LG CNS는 지난해 6월 점검 때 교체를 권고했지만, 행안부와 국정자원은 이를 따르지 않았다. 심지어 정부는 사고 이틀 뒤인 지난 28일까지 “교체 권고를 받은 적이 없다”고 주장했다. 그러다 하루 만에 말을 바꿨다. 이재용 국정자원 원장은 브리핑에서 “교체 권고를 받았지만 1~2년은 더 사용할 수 있다고 판단했다. 주의 깊게 살피지 못했다”며 고개를 숙였다. 이 원장은 통화에선 “사용 기간이 지났다고 무조건 교체해야 하는 상황은 아니라고 생각했다”고 해명했다. 국가 전산망의 중추신경을 맡은 기관이 ‘교체 여부’를 자의적으로 판단한 것은 기본 원칙을 저버린 처사라는 비판이 나온다. 화재를 막을 수 있었던 기회는 또 있었다. 목원대 산학협력단이 지난해 행안부에 제출한 연구보고서에는 배터리실에 방화 격벽을 설치해 화재가 발생해도 서버 등 핵심 장비에 영향을 주지 않도록 해야 한다는 안전지침이 담겼다. 그러나 사고 현장은 배터리와 서버가 불과 60㎝ 간격으로 밀집 배치돼 있었다. 기본적인 안전 설계가 무시된 셈이다. 감사원은 2023년 정부 시스템 먹통 사태 때도 노후 장비 관리 부실이 드러났지만 재발 방지 대책이 마련되지 않았다고 지적했다. 감사원은 이날 2023년 11월 국가정보통신망 마비로 정부24 등 189개 행정정보시스템이 동시에 장애를 일으킨 당시 상황을 점검한 ‘대국민 행정정보시스템 구축·운영 실태’ 감사 결과를 공개했다. 사고를 막을 기회를 세 차례나 놓친 셈이다. 전문가들은 ‘전형적인 안전불감증’이라고 지적했다. 인세진 전 우송대 소방안전학과 교수는 “수명이 지난 배터리를 계속 사용하는 건 매우 위험한 일”이라며 “국가 핵심 서버를 관리하는 기관이라면 장비 교체 주기를 철저히 지켜야 했다”고 강조했다. 김명주 서울여대 정보보호학과 교수도 “배터리의 배치 구조 자체에 근본적인 문제가 있었다”며 관리 체계 전반에 대한 재점검을 촉구했다. 김 교수는 “2년 전 ‘새올’ 전산망 장애도 노후 장비가 원인이었다”며 “교체 예산을 대폭 늘려야 한다”고 했다. 올해 국정자원의 노후 장비 교체 예산은 1096억 원으로 지난해보다 고작 251억원 늘었다. 피해를 줄일 ‘세컨더리 안전망’도 절실하다. 정부는 비상 상황 대비용으로 충남 공주에 국정자원 제4센터(재해복구 전용 데이터센터) 개청을 추진했지만 18년째 문을 열지 못하고 있다. 2008년 첫 계획 수립 이후 타당성 재조사, 입찰 방식 변경, 공사 중단이 이어지면서 지난해 11월 예정이던 개소가 미뤄졌다. 사업 지연으로 지난해 예산액 251억 5000만원 중 189억 8200만원만 써서 예산 집행률이 낮았고, 올해 예산은 16억 1400만원만 배정돼 사실상 사업 추진이 어려워졌다. 올해 10월 개청조차 불투명하다. 정부는 뒤늦게 문제점을 자각하는 모양새다. 이 원장은 서울신문에 “앞으로 권장 사용 기간이 지난 장비는 예외 없이 교체하고 내부 결함 점검을 전면화하겠다”고 밝혔다. 한편 이번 화재가 전문성 없는 인력이 리튬이온 배터리를 운반하다 발생했다는 일부 의혹에 대해 정부는 사실이 아니라고 일축했다. 김민재 행안부 차관은 “해당 작업자는 자격을 보유한 전문 기술자이며, 화재로 다친 인물”이라고 밝혔다.

국가정보자원관리원(국정자원) 대전 본원 화재로 국가 전산망이 마비되면서, 국가자원 공주센터가 제때 가동됐다면 피해를 줄일 수 있었다는 비판이 나온다. 정부는 재해·재난 등 비상사태에 대비해 충남 공주에 국정자원 제4센터(재해복구 전용 데이터센터) 개청을 추진했지만 18년째 문을 열지 못하고 있다. 29일 국회예산정책처 2024년 회계연도 결산(행정안전위원회) 보고서에 따르면 공주센터는 2008년 ‘정보보호 중기종합계획’에 따라 2012년 개청을 목표로 추진됐지만, 타당성 재조사 2차례와 사업자 선정 유찰 7회, 입찰방식 변경 등을 거치며 착공이 2019년에야 이뤄졌다. 이후 공사비 증액과 감리비 부족으로 공사 중단을 거듭해 2023년 5월에서야 건물 신축이 끝났다. 당초 정부는 2024년 11월 센터를 열 계획이었지만 2023년 11월 정부 행정 전산망 장애 사태를 계기로 기존 ‘패시브(수동) 백업’ 대신 ‘액티브-액티브 재난복구(DR)’ 시스템을 도입하기로 하면서 개청이 또 미뤄졌다. 액티브-액티브 DR은 두 센터가 실시간으로 데이터를 주고받으며 동시 운영돼 한쪽에 장애가 발생해도 다른 쪽이 즉시 서비스를 이어받는 방식이다. 기존의 ‘백업 후 복구’보다 안정적이다. 하지만 사업 지연으로 지난해 예산액 251억5000만원 중 189억 8200만원만 집행되는 등 예산 집행이 늦어지면서 올해 5월 말 기준 공정률은 66.9%에 그쳤다. 계획대로라면 올해 10월 문을 열어야 하지만 현재로선 불확실하다. 김민재 행정안전부 차관은 이날 브리핑에서 “공주센터에 DR시스템 구축하는 건 별도의 내부 시스템을 추가로 구축해야 한다”고 말했다. 예산정책처는 “전쟁이나 대형 재난에 대비해 추진한 데이터센터가 10년 넘게 지연된 것은 문제”라며 “조속히 국가정보자원 백업센터로서 제 기능을 할 수 있도록 관리를 강화할 필요가 있다”고 지적했다.

전원 안 껐다면 작업자 과실 지적서버 간격 1.2m… 인력 투입 난항정보 소실 우려에 물 사용도 제한 지난 26일 대전 국가정보자원관리원(국정자원) 전산실 화재는 ‘노후 배터리’에서 시작됐다. 해당 배터리는 제조사가 안전한 사용을 위해 권장한 사용 기간을 1년 넘긴 채 운용되고 있었다. 28일 행정안전부에 따르면 불이 난 무정전 전원장치(UPS)용 리튬이온 배터리는 2014년 8월 전산실에 설치됐다. 권장 사용연한은 10년으로 이미 1년 이상 초과 사용 중이었다. 국정자원은 지난 6월 정기 점검에서 이상이 없었다고 해명했지만, 전문가들은 정부 핵심 인프라를 관리하는 기관인 만큼 장비 교체 주기를 더욱 엄격히 지켜야 한다고 지적했다. 소방당국, 국립과학수사연구원과 합동감식에 나선 대전경찰청도 UPS용 리튬이온 배터리 폭발 이유에 수사력을 집중하고 있다. 인세진 전 우송대 소방안전학과 교수는 “사용연한이 지났다고 반드시 문제가 생기는 건 아니지만 노후화에 따른 화재나 고장의 가능성은 충분히 존재한다”고 밝혔다. 행안부에 따르면 지난 26일 작업자 13명이 리튬이온 배터리를 정부 서버와 분리해 지하로 옮기던 중 배터리 한 개가 폭발했다. 국정자원은 2022년 10월 카카오톡 먹통 사태를 계기로 예산을 확보해 배터리를 단계적으로 이전 중이었다. 배터리를 옮기는 과정에서 모종의 작업 실수가 있었던 게 아니냐는 지적도 제기된다. UPS는 직류전원을 사용하기 때문에 옮길 때 전원을 완전히 꺼야 한다. 전원이 연결된 상태에서 케이블을 분리하면 전압이 순간적으로 높아져 화재 위험이 커지기 때문인데 이번에는 전원을 차단하지 않고 전선을 뺐다가 전기 단락(쇼트)이 생긴 것 아니냐는 것이다. 윤상기 소방청 장비기술국장은 지난 27일 브리핑에서 “배터리 교체 중 불꽃이 발생한 것은 확인됐지만 전원이 차단된 상태였는지는 국립과학수사연구원 감식 결과를 기다려야 한다”고 밝혔다. 조사 결과 전원이 꺼진 상태에서 화재가 발생했다면 배터리 결함 쪽에, 반대 경우라면 작업자 과실에 무게가 실릴 수 있다. 전산실의 협소한 구조도 피해를 키웠다. 서버와 서버의 간격은 1.2m, 서버와 배터리의 간격은 60㎝에 불과했다. 소방 인력 투입이 근본적으로 어려운 구조다. 김명주 서울여대 정보보호학과 교수는 “리튬이온 배터리는 화재를 예방하기 위해 반드시 물리적으로 격리된 상태에서 운용해야 한다”며 “배터리 배치 자체에 문제가 있었다”고 지적했다. 또한 리튬이온 배터리 화재의 경우 불을 끄려면 다량의 물을 사용해야 하는데 전산실에는 국가정보가 저장된 서버가 있어 많은 물을 분사할 수 없다. 진화가 지연되며 총 384개의 배터리 팩이 전소한 이유다.

불붙은 배터리 22시간 만에 진화주요 행정민원서비스 사흘째 먹통 국가 전산망이 멈춰 섰다. 지난 26일 국가정보자원관리원(‘국정자원’) 대전 본원에서 일어난 화재로 무인민원발급기, 모바일 주민등록증 발급, 정부24 등 행정·민원 서비스가 사흘째 ‘먹통’이다. 2022년 10월 ‘카카오톡 먹통’(SK C&C 판교데이터센터 화재), 2023년 11월 행정 전산망 마비를 겪으면서 유사시 피해를 최소화하기 위한 ‘이중화’(백업) 필요성이 강조됐지만 말뿐이었다. 2년이 흘렀음에도 예산편성 등 후속 조치에 안이했던 탓에 당장 29일부터 주민센터 등에서 ‘수기(手記) 행정’으로 되돌아가게 됐다. 디지털 정부의 그을린 민낯이다. 28일 행정안전부 중앙재난안전대책본부에 따르면 지난 26일 오후 8시 15분쯤 국정자원 대전 본원 7-1 전산실(5층)에서 발생한 화재는 22시간 만인 27일 오후 6시 진화됐다. 행안부 관계자는 “내일(월요일)부터 주민센터에서 수기로 업무를 봐야 한다”며 “현재로선 복구 시점을 명확히 말하기 어렵다”고 설명했다. 정부가 2년 동안 사실상 허송세월했다는 지적이 나온다. 2023년 11월 내부 전산망인 ‘새올’ 행정정보시스템이 마비되자 공무원들이 수기로 서류를 작성하는 초유의 사태가 발생했다. 비난이 쏟아지자 윤석열 정부는 ‘국민 신뢰 제고 대책’에서 “(이용자 수가 많고 파급효과가 큰) 1·2등급 정보시스템은 모든 장비에 대한 ‘이중화’를 진행해 중단되는 일이 없게 하겠다”고 약속했다. 그러나 관련 예산은 편성되지 않았다.  행안부 관계자는 “당시 기획재정부에서 ‘민간 클라우드 활용 방안도 있다’는 등의 이유로 반대해 2025년 예산에 반영되지 못했다”고 말했다. 행안부는 예산당국인 기재부 탓을 하지만 정작 주무 부처인 행안부가 비상사태에 대응하는 재해복구(DR)시스템 구축에 소극적이었던 것 아니냐는 시각도 있다. 행안부는 지난해 4월 ‘(1·2등급) 재해복구시스템 구축 투자 금지’ 지침을 내렸다. 이용자 수가 많고 파급효과가 큰 정보시스템조차 올해 시범 사업을 거친 뒤 2026년부터 본격적으로 예산이 투입되도록 한 것이다. 당시 행안부는 “시범 구축을 통해 보다 효율적으로 재해복구 방식을 검토한 뒤 시스템을 구축해 예산 낭비를 방지하려는 차원”이라고 설명했다. 전문가들은 사태의 근본 원인이 ‘이중화 미비’라고 입을 모은다. 임종인 고려대 정보보호대학원 교수는 “정부는 데이터 백업을 강조했지만 한쪽에 사고가 나면 즉시 이어받아 작동하는 체계가 전혀 준비돼 있지 않았다”며 “서버와 스토리지뿐 아니라 냉각·화재 방지 장치 같은 부대설비까지 모두 이중화돼야 한다”고 강조했다. 정부도 이를 인정했다. 이재용 국정자원 원장은 “2023년 행정 전산망 마비 사태 이후 정부는 ‘액티브 스탠바이’ 형태의 DR시스템이 아니라 ‘액티브 액티브’ 형식을 개발하기로 했다”며 “올해 시범 사업 중이라 아직 제대로 백업 체계가 갖춰지지 않은 건 맞다”고 밝혔다. ‘액티브 액티브’란 2개 서버가 동시 가동되는 실시간 복구체계를 뜻한다. 이용석 행안부 디지털정부혁신실장도 브리핑에서 “DR시스템이 구축돼 있지만 큰 규모가 아니라 최소한의 규모로 돼 있거나 데이터 백업 형태로만 돼 있는 것도 있다”며 “(전반적인) 이원화 작업은 예산 문제로 하지 못했다”고 말했다. 2022년 10월 강동석 당시 국정자원 원장은 “대전센터가 화재나 지진 등으로 한꺼번에 소실될 경우 실시간 백업 자료로 3시간 이내 복구할 수 있도록 구축돼 있다”고 밝혔지만 이번 화재로 허언이란 게 입증된 셈이다. 아직 가동되지 못한 국정자원 백업센터(공주센터)도 도마에 올랐다. 국정자원 3개 센터(대전·광주·대구)가 동시에 마비될 경우 ‘최후의 보루’ 역할을 해야 할 공주센터는 2012년 사업이 시작됐지만 예산 삭감에 따른 계약 유찰로 공사가 지연된 끝에 올해 하반기에야 문을 열 것으로 전망된다. 김명희 당시 국정자원 원장은 “공주센터가 정상 운영되면 대전·광주·대구센터가 재난 피해를 보는 극한의 상황에서도 중요한 국가정보시스템이 중단 없이 서비스될 것”이라고 말했다. 화재 이후 정부 대응도 혼선을 키웠다. 애초 행안부는 “화재로 직접 피해를 본 시스템은 70개”라고 발표했다가 하루 만에 96개로 수정했다. 행안부 관계자는 “서버 저장용량과 구역 이동에 변동이 잦아 현황을 파악하기 쉽지 않았다”고 해명했다. 전소돼 장기 복구가 필요한 96개 시스템의 목록조차 공개하지 않은 점도 국민 불편을 키웠다. 2022년 카카오톡 먹통 사태 때 강도 높은 대비책 마련을 요구했던 정부가 정작 국가 전산망 관리에는 손을 놓고 있었다는 지적도 나온다. 김승주 고려대 정보보호학과 교수는 “카카오톡이 마비됐을 때 정부가 카카오엔 보완책을 마련하라고 지시해 놓고 정작 자신들은 지키지 않았던 것”이라며 “카카오톡보다 훨씬 중요한 게 행정시스템인데 정부가 2년여간 손을 놓고 있었다는 게 타당한 얘기냐”고 꼬집었다.

대전 국가정보자원관리원(국정자원) 화재로 국가 전산망에 의존하는 행정서비스 상당수가 ‘먹통’을 겪자 정보 시스템 이중화 조치를 소홀히 한 대가를 치른 것이라는 지적이 나왔다. 28일 행정안전부에 따르면 지난 26일 오후 8시 20분쯤 대전 유성구 화암동에 있는 국정자원 5층 전산실에서 리튬이온 배터리 폭발로 불이 났다. 불은 배터리 교체 작업을 위해 전원을 차단하던 과정에서 발생했다. 그 결과 정부 전산 시스템 647개의 가동이 중단됐다. 화재 열기로 전산실 적정온도를 유지하는 항온항습장치가 작동을 멈추자 서버 등 장비 손상을 우려한 국정자원 측이 대전 본원 내 647개 시스템 전원을 모두 차단했기 때문이다. 647개 중 국민이 직접 이용하는 대국민 서비스가 436개이고 나머지 211개는 공무원 업무용 행정내부망 서비스였다. 이 중 96개 시스템은 이번 화재로 직접 피해(물리적 손상)를 입었다. 정부는 96개 서비스를 제외한 나머지 551개 서비스를 우선 복구하겠다는 방침이다. “카톡 먹통 사태 지적한 정부가 이중화 조치 방치” 문제는 전산실 1곳에 불이 났다고 대한민국의 행정서비스 전체가 멈춰 서게 된 현행 시스템이다. 전문가들은 전산망 이중화를 소홀히 했기 때문에 단순 화재가 정부 전산망 전체가 중단되는 사태로 이어졌다고 지적했다. 연합뉴스에 따르면 임종인 고려대 정보보호대학원 교수는 “정부가 데이터 백업은 해놨다고 하지만 한쪽에서 사고가 나면 곧바로 이어받아 작동할 수 있도록 하는 준비가 안 돼 있었다”고 지적했다. 정부에 따르면 대전 본원 외 지역 분원에 데이터 백업 체계가 갖춰져 있지만, 이를 가동할 시스템이 부족해 행정서비스 복구가 지연되고 있는 것으로 추정된다. 임 교수는 “복구가 이렇게 오래 걸린다는 건 국가 안보 측면에서도 치명적인 약점을 드러낸 것”이라며 “컴퓨팅 서버, 스토리지, 네트워크뿐 아니라 냉각 장치, 화재 방지 장치 같은 부대 시설까지 모두 이중화돼야 하는데 그렇지 못했던 게 문제”라고 강조했다. 염흥열 순천향대 정보보호학과 명예교수도 “재해재난은 언제나 발생할 수 있는 것인데, 대전·광주·대구 분원에 이중, 삼중 시스템이 있었다면 한 곳에서 장애가 발생해도 서비스가 빠르게 복구됐을 것”이라며 아쉬움을 드러냈다. 행안부 관계자는 “센터 간 백업체계를 갖추고 있지만, 데이터를 돌릴 시스템 장비가 있어야 하는데 예산 측면에서 관련 장비 여유분을 갖추기가 빠듯했다”고 설명했다. 이번 사태를 두고 3년 전 ‘카카오톡 먹통’ 사태가 정부 버전으로 되풀이된 것이라는 지적도 나온다. 2022년 판교 데이터센터 화재 당시 카카오는 이곳 1곳에 카카오톡을 비롯한 서비스 대부분을 의존하고 있던 터라 전 국민이 며칠 동안 불편을 겪어야 했다. 당시 정부는 카카오 측에 다중화 클라우드 서버 구축 등 강도 높은 대비책을 마련하라고 요구했는데, 정작 정부 시스템은 이를 제대로 실천하지 않아 재난 상황에 취약성이 그대로 노출됐다. 김승주 고려대 정보보호학과 교수는 “화재로 카카오톡이 마비됐을 때 전 국민이 불편을 겪었는데, 당시 정부가 민간기업인 카카오톡에 보완책을 마련하라고 지시해놓고 정작 정부는 지키지 않았던 것”이라고 지적했다. 이어 “카카오톡보다 훨씬 중요한 게 행정 시스템인데, 정부가 (카카오톡 사태 이후) 2년여간 손 놓고 있었다는 게 타당한 얘기인가”라고 비판했다. 또 “전산실에 불이 나더라도 정부 시스템이 먹통이 되지 않아야 하는 게 원칙”이라며 “백업을 어느 정도로, 얼마나 자주 하느냐가 관건인데 정부 전산망에 대한 백업이 충분히 이뤄지지 않은 것 같다”고 아쉬움을 드러냈다. 李 “국민 불편 최소화에 역량 집중” 주문이재명 대통령은 이번 사태와 관련해 이날 오전 비상대책회의를 주재하고 김상호 국가위기관리센터장 등으로부터 상황을 보고 받은 뒤 “신속한 정부 시스템의 복구와 가동, 국민 불편의 최소화에 모든 역량을 집중하라”고 관계부처에 주문했다. 이 대통령은 국가 주요 정보시설의 화재로 국민께 큰 걱정과 불편을 드린 점에 대해 우려를 표하고 높은 시민의식으로 차분이 대응을 해 준 국민께 감사를 표했다. 아울러 화재로 인한 장애 및 복구 현황을 숨김없이 설명하는 소통체계를 구축해 국민의 궁금증과 애로사항을 해소해달라고 당부했다. 또 정부 시스템 이용이 원활하지 않아 발생하는 불편을 최소화하기 위한 방안을 빈틈없이 마련해 국민께 안내할 것을 지시하고, 특히 납세 등 행정상 의무를 이행하지 못하는 국민이 불이익을 받지 않도록 각별히 챙겨달라고 주문했다. 이 대통령은 이와 함께 “금융·택배·교통 등 국민 생활과 밀접한 분야의 피해가 발생하지 않도록 민간과도 긴밀한 협력체계를 구축해달라”고 강조했다. 이 대통령은 신속한 장애 복구와 함께 ‘이중 운영체계’ 마련 등의 근본적 보완책 마련도 지시했다. 이에 더해 “2023년 발생한 전산망 장애 이후에도 운영체계 이중화 등 신속한 장애 복구를 위한 조치가 제대로 마련되지 않았다”고 지적하면서 향후 재발 방지 대책을 확실히 집행해야 하는 만큼 거버넌스 정비를 포함한 구조적 문제 해결 방안을 신속히 보고하라고 했다. 이 대통령은 “추석 명절을 코앞에 둔 만큼 국민이 명절을 지내는 데에도 불편함이 없어야 한다”며 “국무총리와 행정안전부 장관은 물론 각 부처 장관과 공직자들이 비상한 자세로 사고 수습에 만전을 기해달라”고 거듭 촉구했다. 여 “전 정부 이중화 소홀”…야 “현 정부 무능력” 여야는 이번 사태의 원인과 책임을 놓고 ‘네 탓’ 공방을 벌였다. 더불어민주당은 “참사 원인은 지난 정부가 배터리와 서버 이중화 작업을 제대로 진행하지 못했기 때문”이라며 “특히 예산을 제대로 수립하지 못한 부분에 대한 지적도 나왔다”고 밝혔다. 이어 “카카오톡 사태에서 큰 교훈을 얻은 뒤 민간에게는 이중화 조치와 재난복구 시스템 복구 조치를 의무화하고도 정부는 공공기관에 대해서는 제외했다”며 “그 결과가 오늘의 사태를 불렀다고 생각한다”고 강조했다. 또 “지난 정부가 이 문제를 심각하게 안 보면서 이중화 조치는 물론 화재 위험물 시설도 지정되지 않았다”며 “소방청이 요구했을 텐데 당시 정부가 받아들이지 않아 화재 위험물 시설로 지정되지 않았다”고 주장했다. 반면 국민의힘 현 정부의 부실한 위기대응 능력이 사고를 키웠다고 책임을 돌렸다. 국민의힘 의원들은 “대한민국이 자랑한 전자정부가 왜 이렇게 됐는지 개탄스럽다”며 “허술한 디지털 행정 인프라와 부실한 위기대응 능력이 사고를 키웠다. 이번 사태는 총체적 무능이 빚은 인재이자 대형 참사”라고 비판했다. 이어 “이 정부에 과연 위기대응 능력이라는 게 있는지 지적하지 않을 수 없다”며 “피해 현황과 복구 계획 등은 물론 어떤 서비스가 중단되는지 국민에게 알려 혼란을 최소화해야 함에도 정부는 언제까지 복구된다는 말도 하지 않는 등 국민 불편을 외면하고 있다”고 주장했다. 국민의힘은 “이 모든 사안에 대해 국정 최고 책임자인 이재명 대통령이 사과해야 한다”며 “책임자인 행정안전부 장관을 비롯해 관계자들을 문책할 것을 강력히 요청한다”고 덧붙였다. 이와 관련해 강유정 대통령실 대변인은 국민의힘 등 야권에서 윤호중 행안부 장관 경질 요구가 나오는 것에 대해 “그 부분에 대해서는 논의한 바 없다. 지금은 빠른 대응과 복구가 우선”이라고 말했다.

신한금융그룹이 임원에서 사원까지 전 그룹사를 아우르는 ‘책임경영 기반 정보보호 체계’를 본격 가동한다. 25일 금융권에 따르면 신한금융은 급변하는 디지털 금융 환경에서 고객 정보를 안전하게 보호하고 계열사 보안 역량을 높이기 위해 세 가지 전략을 마련했다. 핵심은 ▲책무 기반 통제 체계 강화 ▲이사회 대상 정보보호 연수 ▲경영계획 내 평가 확대다. 임원 책무구조도와 부서장 내부통제 매뉴얼에 더해, 직원별 정보보호 담당 업무를 기록한 ‘내부통제 활동 명세서’를 신설했다. 책임 범위를 사원까지 넓혀 은행·카드사를 시작으로 전 그룹사로 확대할 계획이다. 또한 금융지주 최초로 이사회를 대상으로 정보보호 연수를 진행한다. 26일 열리는 신한지주 이사회에는 박상원 금융보안원장과 외부 전문가들이 참석해 금융보안 패러다임 변화를 논의한다. 내년 그룹 경영계획에는 정보보호 평가 비중을 크게 늘리고, 계열사별 인력·예산 증대도 의무화할 예정이다. 신한금융 관계자는 “디지털 금융 확산에 따라 정보보호는 단순한 보안 활동을 넘어 고객 신뢰 확보와 기업가치 제고의 핵심 과제로 자리 잡고 있다”며, “신한금융은 앞으로도 선제적 투자와 혁신을 통해 전 그룹사로 정보보호 통제 체계를 확대하고 모니터링을 강화함으로써 고객이 믿을 수 있는 안전한 금융서비스를 제공하겠다”고 말했다.

SK텔레콤에 이어 롯데카드, KT 등 통신·금융업계가 해킹에 뚫려 개인정보가 줄줄 새 나가면서 소비자들의 피해도 커지고 있다. 국가기관 역시 예외는 아니다. 헌법기관·중앙행정기관에서 유출된 개인정보 건수가 2년 새 6배나 늘었다. 민관 모두 해킹에 멀쩡한 곳이 없다. 디지털 시대 ‘국가 재난’ 수준으로 대응해야 한다는 목소리가 높다. 개인정보보호위원회에 따르면 국가기관의 개인정보 유출 규모는 2022년 65만건에서 지난해 391만건으로 급증했다. 신고 건수는 2022년 23건에서 지난해 104건으로 폭증했다. 올 들어 7월까지 이미 72건의 신고가 들어왔고 총 91만건이 유출됐다. 건강보험공단에서 지난 1일 182명의 개인정보가 뚫렸고 질병관리청에서도 올해만 두 번 유출됐다. 내 개인정보가 오늘 당장 떠돌아다녀도 조금도 이상하지 않을 상황이다. 공공기관이 보유한 개인정보는 중앙기관 303억건, 지방자치단체 56억건, 교육기관 29억건 등 총 757억건에 달한다. 통신사와 보험사, 저축은행, 카드사, 인터넷서점에 병원 등까지 해킹에 뚫리지 않은 곳이 없을 정도로 해킹 위협과 정보 유출 피해는 심각해지고 있다. 해킹 수법도 KT의 ‘가짜 기지국’ 등 갈수록 고도화하고 있다. 그런데도 기업이나 기관이나 해킹 등 보안 강화를 위한 예산과 전담 인력 투입은 턱없이 부족하다. 지난해 공공기관 중 정보 보호 예산이 1000만원 미만인 기관은 83곳(10.4%)이었다. 롯데카드의 올해 관련 예산은 정보기술 예산의 9%로 2020년 14.2%에서 오히려 급감했다. 어제 국회 과학기술정보방송통신위원회의 해킹 사고 청문회에서 의원들은 KT, 롯데카드 등을 상대로 “구멍가게도 이렇게 안 한다”며 질타를 쏟아 냈다. 책임자 사후 처벌도 중요하지만 보안 의식 강화와 실효성 있는 재발 방지책 마련이 시급하다. 과학기술정보통신부, 금융위원회 등 관련 부처가 합동 대응을 강화하지 않으면 ‘인공지능(AI) 강국’은 요원할 수밖에 없다.

KT 대표 “펨토셀 외주 허점” 인정과기부 차관 “복제폰 위험성 볼 것”28만명 중 19만명 재발급 등 조치MBK, 롯데카드 매각 계획 재확인증인 채택된 김병주 회장 불출석 24일 국회에서 열린 ‘KT·롯데카드 해킹 사태’ 청문회에서 여야 의원들이 해당 기업들의 관리 소홀과 늑장 대응에 대해 집중 추궁했다. 과학기술정보통신부는 이 자리에서 고의성이 확인되면 경찰 수사 의뢰 등에 나서겠다는 입장을 밝혔다. 김영섭 KT 대표는 이날 청문회에서 허술한 ‘초소형 기지국’(펨토셀) 관리와 늑장 대응 등으로 질타를 받았다. 김 대표는 경찰의 해킹 통보 후 8일이나 지나서야 신고한 것과 관련해 “당시 스미싱으로 오인해 대응이 늦어졌을 뿐, 은폐 의도는 없었다”고 해명했다. 김 대표는 사퇴 의사에 대해선 “사태 수습이 우선”이라며 유보하는 태도를 취했다. 해킹의 주요 경로로 지목된 펨토셀을 부실하게 관리했다는 지적도 잇따랐다. 김 대표는 “외주 관리 체계에 허점이 있었던 것은 인정한다”고 했다. 류제명 과학기술정보통신부 2차관은 “서버 폐기나 신고 지연 등에 고의성이 있는지 파악하는 대로 필요시 경찰 수사 의뢰 등 강력 조치하겠다”고 했다. 그러면서 “(복제폰 생성 위험성도) 면밀히 보겠다”고 덧붙였다. 기업의 보안 부실로 인해 발생한 사태인 만큼 번호 이동 고객에 대한 위약금을 면제해야 한다는 지적이 거듭됐다. 김 대표는 “서버 해킹으로 개인 정보가 유출된 2만 30명에 대한 위약금 면제를 적극 검토하겠다”고 했지만, 전체 고객 위약금 면제 여부에 대해선 “최종 조사 결과를 보고 검토할 예정”이라며 선을 그었다. 류 차관은 “KT가 안전한 통신 제공의 의무를 위반했다면 당연히 위약금 면제 조치가 이루어져야 한다고 생각한다”고 말했다. KT는 무단 소액결제 사태와 관련해 올해 발생한 모든 인증 방식 내용 내역에 대해 전수조사를 실시할 계획이다. 이날 청문회에 출석한 조좌진 롯데카드 대표는 200GB 상당의 고객 정보 유출 사태와 관련 “카드 재발급이 100만명까지 밀려있는 상황으로 이번 주말까지는 대부분 해소가 될 것”이라고 밝혔다. 조 대표는 카드 재발급이 늦어지는 이유에 대해 “하루 24시간을 온전히 가동해서 재발급할 수 있는 캐파(Capa)가 6만장”이라며 이같이 답했다. 롯데카드는 지난달 보안패치 누락으로 해킹 사고가 발생해 회원 297만명의 정보가 유출됐다. KT 서버 해킹 사건과 달리 아직 피해액은 발생하지 않았지만 297만명 중 28만명은 연계정보(CI), 주민등록번호, 카드번호, 유효기간, 보안코드(CVC) 번호 등 부정 사용이 가능한 핵심정보까지 유출됐다. 롯데카드에 따르면 전날 오후 6시 기준 정보가 유출된 전체 고객 297만명 중 카드 재발급 신청을 한 이들은 약 65만명, 카드 비밀번호 변경은 82만명, 카드 정지 11만명, 카드 해지 4만명 등으로 집계됐다. 특히 CVC 번호 등 핵심 정보가 유출된 고객 28만명 중에는 19만명(68%)에게 카드 재발급, 비밀번호 변경, 카드 정지·해지 등 조치를 했다. 롯데카드는 신용정보법과 개인정보보호법을 근거로 총 800억원 이상의 과징금을 부과받을 위기다. 롯데카드는 향후 5년간 1100억원의 정보 보안 투자를 후속 대책으로 내세웠으나, 최대주주인 사모펀드 MBK파트너스의 윤종하 부회장은 이날 청문회에서 보안투자를 강화하겠다면서도 롯데카드 매각 계획을 재확인했다. 증인으로 채택된 김병주 MBK파트너스 회장은 불출석했다.

질병관리청이 국민건강영양조사 참여자의 개인정보를 외부로 잘못 발송하거나 자료집에 그대로 실어 유출한 사실이 드러났다. 23일 국회 보건복지위원회 소속 김선민 조국혁신당 의원이 질병청에서 제출받은 최근 3년간 개인정보 유출 현황에 따르면, 질병청에서는 올해 들어 2건의 유출 사고가 발생했다. 지난 8월 1일에는 국민건강영양조사 대상자 48명의 이름·성별·연령·체질량지수(BMI) 등이 담긴 결과지가 문자메시지를 통해 24명에게 잘못 발송됐다. 해당 문자에는 결과지를 열람할 수 있는 인터넷 주소(URL)도 포함돼 있었다. 질병청은 사고를 인지한 즉시 URL을 차단하고 수신자들에게 자료 삭제를 요청했으며, 피해자 48명에게는 전화·문자 등을 통해 사실을 통보했다. 앞서 6월 25일에는 한국희귀질환재단이 주관한 ‘희귀질환 유전상담’ 심포지엄에서 배포된 자료집 100부에 환자 10명의 이름과 의심 질환명, 검사 결과 등이 담긴 채 배포됐다. 발표 자료를 준비한 연사가 개인정보를 삭제하지 않은 채 인쇄하면서 벌어진 일이었다. 현장 발표 화면에는 개인정보가 빠져 있었지만, 질병청은 다음날에서야 유출 사실을 확인해 자료집을 회수했다. 이후 환자들에게 개별 연락을 취하고 개인정보보호위원회에도 사고를 신고했다. 김선민 의원은 “건강보험공단에 이어 질병청에서도 민감한 질병 정보가 유출됐다”며 “질병청은 국민의 건강 정보를 보유한 기관으로서 재발 방지를 위한 근본 대책을 서둘러 마련해야 한다”고 지적했다.

폐기된 줄 알았던 KT의 ‘서버 로그’가 백업돼 있다는 게 드러나면서 해킹 조사가 탄력을 받을 것으로 보인다. KT와 롯데카드 등 통신·금융권에서 연달아 해킹 사고가 터지자 정부는 이 기업들의 정보 보호 체계를 전면 재정비하는 종합 대책을 내놓기로 했다. 22일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원이 KT로부터 받은 자료에 따르면 KT는 지난 15일 폐기된 서버의 로그가 백업돼 있음을 확인하고 이를 18일 임원회의를 거쳐 같은 날 저녁 합동조사단과 공유했다. 서버 로그는 서버에서 발생한 모든 작업과 접근 기록을 담은 파일이다. 해킹 사고가 발생했을 때 누가, 언제, 어떤 방식으로 시스템에 접근했는지를 추적하는 데 핵심 증거가 된다. KT는 지난 5월 22일부터 이달 5일까지 외부 보안업체를 통한 자사 서버 전수조사를 진행했는데, 이 과정에서 해당 서버 로그 역시 백업된 사실을 뒤늦게 파악한 것으로 알려졌다. 당초 당국은 해당 의혹이 서버 폐기로 조사가 어렵다는 입장이었으나 관련 기록 보관이 확인돼 분석이 가능할 것으로 보인다. 다만 서버 폐기와 관련한 KT의 번복 해명은 의혹을 더욱 키우고 있다. KT는 한국인터넷진흥원(KISA)이 자료 제출을 요구한 지난달 12일 서버를 폐기해 자료 제출이 불가능하다고 했다고 했지만, 총 8대의 관련 서버 중 2대는 당시 보관 중이었으며 다음날 폐기한 것으로 드러났다. KT 측은 “담당 부서가 해당 서버의 서비스를 8월 1일 종료했다고 해 서버도 폐기한 줄 알았다”고 뒤늦게 해명했다. KT 해킹 의혹은 지난 8월 글로벌 해킹 권위지 ‘프랙 매거진’의 발표로 시작됐다. 프랙은 화이트해커의 제보를 토대로 북한 해커 그룹으로 알려진 ‘김수키’가 대한민국 주요 정부와 군 기관, 주요 통신사에 지속해서 해킹 공격을 했으며, KT의 경우 인증서(SSL 키)가 유출된 정황이 발견됐다고 전했다. 이후 무단 소액 결제 사건이 발생했는데, KT 해킹 의혹과 이번 소액 결제 사건과의 연관성은 추가 조사가 필요한 상황이다. 김민석 국무총리는 이날 통신사 및 금융사 해킹 사고와 관련한 긴급 현안점검회의에서 “관계부처 장관께서는 사태 수습과 해결에 있어서 해킹과의 전쟁에 임한다는 각오로 임해주시기 바란다”고 당부했다. 국가안보실은 전 국가적 보안 점검을 토대로 해킹 관련 종합 대책을 수립해 이달 말 관계부처 합동으로 발표할 예정이라고 밝혔다. 개인 정보를 유출했을 때 페널티는 강화될 전망이다. 국회 정무위원회 소속 민병덕 더불어민주당 의원실이 개인정보보호위원회 자료를 분석한 결과, 2021년부터 올해 7월까지 451건의 사고로 8854만 3000여건의 개인 정보가 유출된 것으로 확인됐다. 건당 평균 과징금·과태료 합산 금액은 1019원 정도였다.

“과거엔 사고가 나서 물러난단 생각은 못 했는데, 요즘은 그럴 수도 있겠단 생각이 든다.” 대형 금융지주사 계열 한 최고경영자(CEO)의 고백이다. 취업 청탁이나 횡령 사건 등 불법행위에 국한됐던 CEO 책임론이 이제는 사이버 보안으로 옮겨붙고 있다. 하루가 멀다 하고 터지는 해킹 사고 앞에서 더이상 경영진이 뒷짐 지고 있을 수 없다는 자각이 확산하고 있다. 최근 해킹은 업종의 경계를 가리지 않는다. SK텔레콤과 KT 같은 대형 통신사부터 보험사(SGI서울보증), 카드사(롯데카드)에 이르기까지 다양한 영역에서 사고가 터졌다. 시도는 늘 있었지만 최근 들어 그 양상은 더욱 고도화되고 교묘해졌다. SK텔레콤은 침해 사실을 3년 만에 알았고, 롯데카드는 2주일이 지나서야 해킹을 인지하고 신고했다. 보안은 기업 경쟁력의 핵심 가치가 되고 있다. 삼성전자는 연초 CES 2025에서 화려한 외형 대신 자체 보안 솔루션 ‘녹스’(Knox)를 전면에 내세웠다. 핀테크 업계도 마찬가지다. 토스는 세계 최고 수준의 화이트해커팀을 내부 자산으로 자랑하고, 카카오뱅크와 케이뱅크도 정보보호 전문 인재 확보에 적극적이다. 반면 전통 금융권은 여전히 사이버 보안이 “본연의 업무가 아니”라는 태도에서 벗어나지 못하고 있다. 해킹 사건은 단순 사고 한 건의 크기를 넘어선다. 랜섬웨어 공격으로 결제 시스템이 멈추거나 대규모 고객 데이터가 빠져나가면 그 피해는 단순 전산장애에 비할 수 없다. 불편의 문제가 아니라 신뢰 붕괴이자 금융 시스템 안정성 위기다. 하지만 대형 금융사는 아직 해킹을 보안부서나 외주업체의 문제로 국한하며 CEO와 이사회는 책임의 바깥에 서 있는 듯 보인다. 해외는 달라졌다. 유럽연합(EU)은 사이버 보안을 ‘시스템 리스크’로 규정하고, CEO와 이사회가 직접 감독·책임을 지도록 명문화했다. 사고 대응과 보고 체계, 보안 투자까지 경영진이 책임지며, 불이행 시 전 세계 매출의 일정 비율에 해당하는 벌금을 부과한다. 미국 증권거래위원회(SEC)도 사이버 사고 인지 후 4영업일 이내 공시를 의무화했고, 경영진이 위험의 크기와 영향을 직접 설명하도록 규정을 강화했다. 사이버 보안은 이제 자본적정성, 유동성과 같은 ‘핵심 리스크 관리 항목’이다. 우리 정부도 대응 수위를 높이곤 있지만 역부족이다. 과학기술정보통신부와 금융위원회는 최근 합동 브리핑을 열어 해킹 사고 신고 지연 시 과태료를 부과하고 규정 위반이 드러날 경우 엄정 조치하겠다고 했지만, 통신과 금융 분야를 나눠 설명하는 모습은 컨트롤타워 부재를 여실히 보여 줬다. 징벌과 상관없이 기업이 살려면 보안은 CEO가 직접 챙겨야 한다. 해킹은 기술적 문제가 아니라 기업 평판과 주가, 나아가 금융 안보와 직결된다. 사고 발생 시 CEO의 신속한 의사결정과 자원 투입이 피해 최소화를 좌우한다. 무엇보다 해킹 한 번이면 고객과 투자자는 등을 돌린다. 박소연 디지털금융부 기자