[미디어스=고성욱 기자] 최근 통신사, 롯데카드 등 대규모 해킹사고가 잇따라 발생한 가운데 정부 기관 역시 해킹 전수조사가 필요하다는 전문가의 지적이 나왔다. 장기적으로는 국가 차원의 사이버 안보 ‘3축 체계(탐지-방어-무력화)’ 구축이 필요하다는 제언이다. 

김승주 고려대 정보보호대학원 교수는 24일 국회 과학기술정보방송통신위원회 대규모 해킹사고 청문회에서 사이버 보안 문제가 굉장히 심각하다면서 “우리나라 보안은 망분리와 폐쇄망이 원칙이었다. 무균실 같은 거였는데, 코로나 시절부터 업무용 PC와 인터넷이 연결되기 시작하면서 한 번 침투되기 시작하니 속절없이 무너지고 있는 상황”이라고 짚었다.

김 교수는 “이미 행정안전부, 외교부, 통일부, 온나라시스템 등의 시스템이 털렸다고 프랙 보고서는 이야기하고 있다”며 “현황 파악이 시급한데, 그러려면 전수조사가 필수적이다. 통신사들의 경우 압박을 받으면서 전수조사를 실시하고 있는데, 정부 부처에 대한 전수조사는 아직 시작이 안 됐다”고 지적했다. 

앞서 프랙은 KT와 LG유플러스, 정부 기관 등이 해킹을 당했고 정보 유출 정황이 있다는 내용의 보고서를 발표했다. 프랙 보고서를 계기로 정부가 관련 조사에 나섰다. 온나라시스템은 공무원들과 지자체 모두를 포함해 회의록·보고서·메모 등이 공유되는 정부 전산시스템이다. 

김 교수는 국가 차원에서 사이버 보안과 관련한 3축 체계(탐지-방어-무력화)를 구축해야 한다고 제언했다. 김 교수는 “KT 사태의 경우, 해외 해커 2명이 확인한 'SSL 암호 통신 인증서 외부 유출' 프랙 보고서를 우리 정보 당국이 좀 일찍 입수해 업체에 통보한 것”이라면서 “그 사실을 먼저 안 것이 외국 해커 2명이다. 이들이 중국 또는 북한으로 추정되는 해커를 해킹해서 얻은 정보인데, 외국의 일반 해커가 얻을 수 있는 첩보를 우리는 한 단계 거쳐서 입수한 것”이라고 지적했다. 김 교수는 “우리나라 정부가 외국의 두 명의 해커만도 첩보 능력이 안 되는 것에 대해 고민해야 한다”고 덧붙였다.

김 교수는 ‘방어’와 관련해 “ISMS-P(개인정보보호 관리)인증 체계는 기본 건강검진 같은 것인데, 롯데카드 같은 경우 굉장히 중요하다고 긴급 업데이트하라고 공지한 보안 취약점이 8년 동안 방치돼 있었다”며 “그런데도 2025년 ISMS-P 인증을 받았다. 이것은 분명한 관리 부실로 이 인증제도를 점검해야 한다”고 말했다. 김 교수는 또 보안 기능 장비에 대한 보안성 평가 인증을 제도화해야 한다고 말했다. 

김 교수는 ‘무력화’와 관련해 “SKT, 롯데카드 모두 로그 기록 보관이 안 돼 있어, 유출 여부를 확인할 수 없다”며 “이런 사태가 재발하지 않으려면 로그 기록을 잘 보존해야 한다”면서 “해커가 외국에 있을 수 있는데, 이럴 경우 국제 공조가 필수지만 아직도 해결이 안 되고 있다”고 했다.

사이버보안과 관련해 부처간 정보 공유가 원활하지 않다는 점도 개선점으로 꼽혀 콘트롤타워가 필요하다는 지적도 나왔다. 김 교수는 “(해킹 사태가) 발생하면 산하기관이나 정부 부처는 그 대응 자료를 만드느라 시간을 허비한다. 그러면 산만한 정책이 남발되다 그냥 끝난다”며 “어떤 목표를 세우고 컨트롤타워를 중심으로 유관기관을 배치하는 게 필요하다”고 했다.

김 교수는 “우리나라에서 제일 안 되는 게 정보공유”라며 “지금 기관들의 전문성은 괜찮지만, 그런 것이 공유되지 않고 있다. 공유를 하더라도 알짜의 정보는 공유가 잘 안 되는데 이 부분에 대한 토론이 필요하다. 그 토론의 대상에는 업체도 포함돼야 한다”고 말했다. 

☞ 네이버 뉴스스탠드에서 ‘미디어스’를 만나보세요~ 구독하기 클릭!