인터넷 민원서류 위변조 대책

수령기관의 위·변조 확인절차 강화해야, 정부 CSO제도 도입 필요성도 제기
인터넷 뱅킹 해킹 사고 충격이 채 가시지 않은 지난 9월 23일, 국정감사장에서 한 국회의원에 의해 전자정부 인터넷 민원(G4C) 서비스의 발급 서류 위·변조가 가능하다는 주장이 제기되었다. 이를 계기로 행자부의 전자정부 인터넷 민원 서비스를 비롯해 정부 및 공공기관과 민간기관에서 실시하는 인터넷 증명서 발급 서비스가 단 며칠 만에 거의 중단되는 사태가 벌어졌다. 국민들은 인터넷과 PC를 사용해 안방에서 편리하게 민원서류를 발급받던 서비스를 갑작스럽게 받을 수 없게 됨에 따라 큰 불편에 시달렸으며, 사회적으로 행정기관 서비스와 인터넷 서비스에 대한 불신감이 초래되었다.

인터넷 민원 및 전자 문서 발급 서비스 대거 중단 사태는 지난 9월 23일 국정감사 도중 국회 행정자치위원회 소속 권오을 의원이 PC에서 한 프로그램을 사용해 발급 기관이 전송한 문서의 주민등록번호 등 내용을 수정하는 시연을 통해 민원서류가 위·변조될 수 있다고 제기한 것이 발단이 되었다.
행정자치부는 “호기심이나 모방 심리에 의한 범죄 발생 우려”와 “보안 점검 및 대책 마련”을 이유로 곧바로 전자정부의 인터넷 민원 발급 서비스를 중단시킨데 이어 건설교통부, 식약청 대검찰청이 잇달아 서비스를 중지했다. “보안상 문제가 없다”며 서비스 지속 시행을 밝혔던 대법원도 지난 9월 27일 가상 프린터 드라이버를 이용해 서류를 위·변조할 수 있다는 점이 제기되면서 결국 서비스 중단 대열에 합류했다. 이로써 5일 만에 관세청과 강남구청, 서울시청을 제외한 전체 중앙행정기관과 자치단체의 총 78종의 인터넷 서류 발급이 모두 정지되었으며, 각 대학의 각종 인터넷 증명서와 YBM시사에서 운영하는 토익(TOEIC) 성적 증명서의 인터넷 발급도 전면 중단되었다.
행자부에서 운영하는 토지·임야대장, 주민등록등·초본 등 하루 평균 1만 2천건~1만 3천건이 발급되던 전자정부의 인터넷 민원발급 서비스도 중지되어, 인터넷 발급 서비스를 받을 수 없게 된 국민들은 각 동사무소 등에 몰려 북새통을 이루기도 했다.
전자정부 시행 3년, 국가기관 전체가 총망라된 전자정부 대표포탈(www.korea.go.kr) 10월 초 시범서비스 오픈 시점을 앞두고 (범)전자정부 사업이 최대 위기의 순간을 맞게 된 것이다. 서비스가 중단된 후 한 달이 지난 10월 말까지도 각 정부부처와 공공기관을 비롯한 민간기관의 인터넷 발급 서비스는 잠정 중단되어 있는 상태이다.
행자부 인터넷 민원서류 위·변조 방지대책 추진단 보안 대책반 윤종진 팀장은 “10월 28일 민원서류 위·변조 방지 대책 공청회를 거쳐 각 관계 부처 및 기관, 전문가 의견을 공식적으로 받아 조율하고 국민여론조사를 수행한 후 세부적인 대책이 나올 것”이라며, 11월 중에는 서비스가 재개될 것으로 예상했다.

‘가능성’만으로 위험성과 논란 크게 부풀려져
이번 위·변조 논란은 실제 위·변조 사고가 발생한 것은 아니지만 위·변조가 가능하다는 사실 자체만으로 사회적인 충격을 안겨줬다. 특히 정부의 ‘인터넷 서비스는 안전할 것’이라는 일반적인 시각을 완전 뒤엎었다는 점에서 충격은 더욱 컸다.
하지만 현실화된 사실이 아닌 시연을 통한 가능성만 제기된 것으로 문제를 너무 부풀린 것은 아니냐는 지적이 있다. 그러다보니 많은 사람들이 실제 위·변조 사고가 난 것처럼 알고 있거나 내부 서버에 있는 데이터까지도 해킹으로 위·변조 될 수 있다고 여기고 있다.
초기에 국회의원과 언론이 주축이 되어 인터넷 서비스의 취약점이나 ‘손쉬운 방법’에 의해 누구라도 인터넷 민원서류를 위·변조함으로써 실제 사고를 유발시킬 수 있다는 식의 ‘위·변조 가능성’과 그로 인한 ‘사고 가능성’이 크게 부각된 것이 사실이다. 그 과정에서 해킹 기술을 보유한 일부 ‘보안 전문가’들이나 관련 업계에서 (경쟁 업체의) 시스템의 취약점을 찾아내어 흠집 내는데 열을 올리는 웃지 못할 일도 발생했다.
따라서 이번 논란이 확대된 데에는 취약점과 문제점을 제기하는 사람들의 ‘폭로’ 방식에서나 언론의 보도 행태가 지나치게 ‘선정적’이었던 점도 원인 중 하나로 꼽히고 있다. 바로 그 ‘선정성’으로 인해 사건의 핵심에 해당되는 ‘위·변조 방지 체계’에 대한 관심은 비껴간 채 ‘위험성에 대한 가정’만이 부각된 것이다.
김우한 KISA 인터넷침해사고대응지원센터장은 “시연에 사용된 ‘파로스’라는 프로그램은 전문가들이 사용하는 일종의 인터넷 상태 분석 툴이며, 사용방법도 쉽지 않다”며, “누구나 쉽게 사용할 수 있는 해킹 툴이며, 간단한 조작만으로 가능한 해킹이라는 것은 틀린 이야기”라고 지적했다.
다른 보안 컨설팅 전문가는 “이번에 문제점을 제기해 일약 국감 최고 스타 의원으로 떠오른 국회의원이나 자신의 기술력으로 보안업체의 시스템의 버그를 연구해 취약점을 찾아내 제기하는 사람 모두 개인적인 영웅심에서나, 자신의 이름을 부각시키거나 널리 알리려는 목적을 갖고 유명 사이트나 시스템을 공격하는 해커들과 다르지 않다”고 쓴소리를 했다.

“모든 민원서류는 위·변조 가능성이 존재한다”
인터넷 민원발급 서비스는 기본적으로 인터넷 민원 서류의 위·변조를 방지하기 위해 발급 후 수령기관의 검증 및 확인 과정을 거치도록 설계했다. 민원서류 발급 체계를 증명서 생성과 발급, 수령의 세 단계의 과정으로 설정해, 신청인들이 인터넷상에서 ▲증명서를 신청해 ▲발급기관에서 증명서를 발급하고 ▲신청인의 프린터로 출력해 ▲신청인이 이를 오프라인 상에서 수령처에 증명서로 제출하면 ▲수령처에서 오프라인 또는 온라인으로 증명서 내용을 확인하는 것이다.
이 유통 과정에서 혹시라도 위·변조될 위험이 있기 때문에 인터넷 서류에 문서확인번호와 복사방지마크, 2차원 바코드 기술을 적용한 위·변조 방지 마크를 사용해 위·변조 여부를 확인할 수 있도록 했다.
첫째, 문서확인번호로 수령기관에서 발급기관의 온라인 사이트에서 발급문서를 확인하고 둘째, 발급된 증명서류를 복사기로 복사할 때 복사방지마크에 있는 ‘원본’이라는 글자의 ‘원’자나 ‘본’자가 사라지므로, 원본 여부를 확인할 수 있다. 셋째, 원본문서의 내용을 전자서명 형태로 수록한 이차원 바코드를 스캐너를 사용해 발급 문서의 원본을 복원해 위·변조를 확인할 수 있는 것이다.
결국 인터넷 민원서류에 적용된 보안 대책은 “모든 문서는 위·변조 될 수 있다”는 전제 하에 민원인에 의한 위·변조를 방지하고자 하는 것이 아니라 수령기관이 발급기관에서 정당하게 발급한 서류인지 여부를 안전하게 확인, 식별할 수 있도록 하는 데에 목적을 둔 것이다.
그러한 면에서 봤을 때, 이번 국감을 통해 불거진 위·변조 논란에서는 그 방법과 가능성에 대한 문제만을 제기하고 있어 애초의 위·변조 방지를 위한 보안 설계 방식과 절차, 그리고 이들의 문제점을 고려하지 않아 논의의 핵심을 비껴간 셈이다.
전자정부 G4C 민원 발급 솔루션 구축업체인 비씨큐어의 박성준 사장은 “모든 온·오프라인 서류는 위·변조 가능성을 갖고 있다. 인터넷 민원서류는 그 위·변조 가능성에서 절대 예외가 아니다”며, “인터넷 민원발급 시스템은 증명서 유통 인프라로 봐야하며, 정책적인 차원에서 접근해야 한다”고 지적했다. 단순 위·변조 ‘가능성’ 문제와 그 ‘방법’을 소개할 것이 아니라 위·변조를 방지하기 위한 기술이나 체계, 절차상의 미흡한 점을 짚어내는 것이 옳은 접근 방식이라는 주장이다.

인터넷 민원 서비스 ‘활성화’만이 능사 아니다
그렇다고 해서 위·변조 논란이 쓸데없는 소모전만 펼친 것은 아니다. 일단 위·변조 방법이 발견됨에 따라 서비스 자체에 취약점을 내포하고 있다는 점과 서비스를 제공하는 기관이 시스템을 구성할 때 서비스를 받는 대상, 즉 사용자단의 안전까지 세심하게 고려해야 한다는 점을 인식하게 했다. 또 서비스를 시작할 당시에 적용한 보안 대책을 일정 단계마다 지속적으로 점검해 보완해야 한다는 교훈을 서비스 기관들에게 안겨줬다.
무엇보다 대국민 인터넷 민원 서비스를 ‘활성화’하고 ‘확대’하는 것만이 중요한 것이 아니라는 점을 몸소 느낀 값진 계기가 된 것도 이번 위·변조 논란이 주는 교훈이다.
행자부, 대법원, 국세청 등은 위·변조 가능성이 제기된 후 서비스를 중단하고 각 부처와 기관별로 보안 대책반을 구성, 최종적인 합동 보안 대책 마련에 들어갔다. 행자부의 경우 전자정부 G4C 주사업자인 삼성SDS와 보안 솔루션 업체 비씨큐어와 함께 시스템 점검 및 대책 마련 작업을 벌였으며, 대법원의 경우 LG CNS와 마크애니, 현재 컨설팅을 수행하고 있는 인포섹 등과 함께 시스템 점검 및 대책 작업을 수행했다.
특히 대법원의 경우 지난해 12월 내부 보안 점검 당시, 이번에 취약점으로 발견된 가상 프린터 드라이버를 이용한 등기부등본 PDF 파일 형태 저장이 가능함을 확인, 지난 8월까지 대응방안을 검토하기로 계획을 세웠다가 여러 문제로 10월로 작업 계획이 미뤄진 사이 이번에 문제가 터져 국감에서 의원들에게 뭇매를 맞기도 했다.
행자부의 경우에도 자체적으로 주기적으로 시스템에 대한 보안 점검을 수행, 사이버안전센터 등에 보고를 해왔다지만, 관련 전문가들 사이에서는 행자부가 전자정부 G4C 시스템에서 “보안 점검이나 보완 작업을 제대로 수행하지 못했다”는 말이 공공연히 나돌고 있다.
인터넷 발급 시스템 안의 민원서류 위·변조 취약 구간은 이미 밝혀졌듯이 사용자 PC와 프린터 사이다. 중앙 서버에서 신청인의 PC까지의 구간은 암호화 되어 외부 해킹에 안전하지만 신청인 PC에서 복호화 되는 시점부터 위·변조 가능성이 존재한다. 따라서 데이터 추출 시점에 따라 첫째, 민원인 PC에서 복호화되는 시점에 가로채기 프로그램을 이용해 증명서 HTML 원문 파일을 추출할 수 있으며, 둘째, 문서를 출력하는 과정에서 가상 프린터 드라이버를 통해 증명서 편집 가능 파일을 추출할 수 있다. 셋째, 운영체계 임시 저장소에 접근하여 증명서 이미지 파일을 추출할 수 있으며, 넷째, 정상 출력 후에 정밀 스캐너 등 복제기기를 이용해 위조가 가능하다.
이에 따라 현재 발견된 위·변조 취약점에 대한 대응조치로 전송 구간에 전자문서 이중 암호화나 키보드 해킹방지 프로그램 설치, 민원인PC 구간 임시저장 및 스풀 파일 생성을 차단하는 기능 등이 추가된 것으로 전해졌다.
그러나 기술적인 대책으로는 완벽한 보안이 불가능하다는 게 정부기관과 학계·업계 전문가들의 공통된 생각이다. 예를 들어, 완벽한 대책을 위해서는 인터넷 민원 발급 시 사용자 PC를 발급 외에 다른 작업을 못하도록 설정해놓거나 PC에서 데이터를 복호화 하지 않고 프린터에 복호화 모듈을 설치해 PC와 프린터 구간까지 암호화하는 방법을 생각해볼 수 있다.
그러나 이는 비용과 범용성면에서 현실적인 대책이 아니라는 게 전문가들의 분석이다. 위·변조 시도를 방지하기 위한 프로그램을 개인 PC에 설치한다고 해도 악의적인 시도로 교묘한 기술을 사용한다면 근본적으로 막지는 못할 것이라는 분석 때문이다. 어떠한 기술 대책을 적용한다고 해도 현재 수준에서 취하는 조치이기 때문에 이후 새롭고 더욱 강력한 위·변조 기술이 만들어지면서 얼마든지 뚫릴 수 있다는 것이다.
고려대학교 임종인 정보보호대학원장은 “공격력이 해마다 두배씩 늘어나는 상황에서 예상치 못한 공격 방법이 얼마든지 나올 수 있기 때문에 기술적인 대책을 만들더라도 이는 단기적인 대책이 될 수밖에 없다”며, “결국 모든 것을 운영하는 사람의 역할이 가장 중요하다”고 강조하면서, 정보보호 전문인력 양성 프로그램 가동과 CSO 제도의 확립의 필요성을 언급했다.

수령기관 확인절차 준수와 법제도 홍보 강화해야
전문가들은 가장 현실적이면서도 중요한 방법이 현재 적용된 보안 위·변조 방지체계에서 요구하는 수령기관의 확인절차를 강화하는 것이라고 제시한다. 기술적인 취약점은 존재하지만 문서확인번호와 이차원 바코드 위·변조 방지 장치로 수령기관의 검증을 통해 민원서류의 위·변조 여부를 용이하게 할 수 있기 때문이다.
전자정부 G4C의 경우 실제로 수령기관의 문서 진위여부를 확인하는 비율이 높지 않았다. 인터넷 민원 발급 서비스 개시 이후 검증률이 0.5% 수준밖에 안되는 실정. 위·변조 서류에 의한 사고는 언제 폭발할지 모르는 폭탄으로 잠재되어 있는 셈이다.
따라서 수령기관은 검증 절차를 반드시 준수하는 것이 가장 중요하며, 검증 절차에 걸림돌이 되는 요인이 있으면 이를 해결하기 위한 체계를 마련해야 한다.
현재 인터넷 민원 발급 사이트 메뉴에서 문서확인번호로 진위를 확인할 수 있는 메뉴를 제공하고 있으며, 마크애니, 비씨큐어같은 보안업체들이 문서 확인 프로그램을 인터넷 민원 발급 사이트에 배포하고 있다. 전자정부의 경우 ‘민원처리결과확인→발급문서 확인’ 메뉴에서 발급문서 확인번호를 입력해 볼 수 있으며, ‘프로그램 내려받기’에 문서 확인 프로그램이 올라와 있다.
수령기관에 들어오는 서류가 많을 경우 서류마다 일일이 진위를 확인하는데 시간과 노력이 필요하지만 업무절차에 반드시 포함되어 있어야 한다. 특히 수령이관에 검증 프로그램이나 2차원 바코드를 활용해 위·변조 여부를 파악할 수 있는 장치는 거의 전무한 상황이다.
임종인 원장은 “현재 2차원 바코드의 경우 검증하는데 2분 정도 걸려 불편함이 있다”며, 이를 “쉽게 확인할 수 있는 자동화된 검증 기술을 개발해야 한다”고 말했다. 2차원 바코드를 검증할 수 있는 고화질 스캐너는 가격도 저렴하지 않은 것으로 알려져 있다.
수령절차 준수 외에도 사회 전반적으로 화폐 등 오프라인뿐만이 아니라 전자문서 위·변조도 범죄라는 것을 명확히 인식하도록 홍보하고, 처벌 규정을 강화해야 하는 필요성도 중요하게 지적되고 있다. 화폐 위조를 시도하는 것이 범죄라는 것을 알고 있기 때문에 일반적으로 화폐를 위조할 생각을 쉽게 하지 않는 것처럼, 인터넷 문서 위·변조 행위가 범죄라는 인식이 확대될 수 있도록 해야 한다.
현재 현행법에 인터넷 문서 위·변조 행위에 대한 처벌 규정이 있음에도 불구하고 전반적으로 처벌 체감도는 낮은 편이라고 지적되고 있다. 지금까지 관련 사례로 처벌받은 적이 없고 처별 규정이 있는지조차 모르고 있는 국민들이 많을 것이라는 게 그 이유다.
위·변조는 범죄행위, 방법 유포 행위도 처벌규정 마련 제기
인터넷 민원서류 위·변조자에 대해서는 형법 제227조의2(전자기록 위/변작) 또는 제225조(공문서 등의 위/변조)에 따라 10년 이하의 징역에 처한다는 규정이 엄연히 명시되어 있다. 이뿐만 아니라 전문가들은 위·변조 방법을 유포하는 행위에 대한 처벌 규정도 필요하다고 지적한다.
인터넷의 특성 상 전자문서의 위·변조는 방법 유포는 그 파급효과가 오프라인보다 훨씬 크기 때문이다. 지난 인터넷 뱅킹 해킹 사고나 이번 논란 와중에도 일반 사람들은 거의 들어본 적이 없는 ‘파로스’라는 프로그램의 명칭이라든지, 어떤 사이트에서 어떻게 해킹 프로그램을 구할 수 있는지를 공개하는 것은 결국 범죄 방법을 알려주는 것이며, ‘손쉬운 방법’이라거나 ‘간단한 조작만으로도’ 할 수 있다는 말로 오히려 사람들의 호기심을 자극하는 결과를 불러올 수 있다. 법적 대책의 중요성은 범죄행위에 대한 인식이나 규정이 있다는 것을 알고만 있어도 예방책이 된다는 것이다.
정부혁신지방분권위원회 최창학 전자정부팀 국장은 “이번 논란으로 위·변조가 범죄행위라는 인식보다는 위·변조 자체에 대한 충격이 더 컸다”며, “서비스 운영기관은 서비스를 중지하고 대책 마련에 나서는 것에 앞서 위·변조는 범죄 행위임을 먼저 선언했어야 했다”면서 위·변조 시도가 범죄행위의 인식 명백한 규정과 홍보의 절실함을 지적했다.
전문가들이 제기하는 대책의 방향은 이처럼 기술적, 관리/제도적 측면, 법적 측면이 모두 아우러져 있다. 기술적으로 완벽한 보안이 어렵다고 해서 이 부분이 간과되어서도 안될 것이다. 100% 완벽한 보안은 불가능하지만 끊임없는 보안 점검과 취약점에 대한 기술적 대응으로 위협을 최소화해야 한다. 매년 2배씩 3년이면 공격이 8배나 증가하는 것을 감안할 때 그 기간에 아무조치를 취하지 않으면 늘어나는 공격 양만큼 취약점이 커지게 되는 것은 자명한 일이다.
이밖에도 전문가들은 정보보호 등 질적 투자에 대한 관심 부족 등을 문제점으로 지적하고, 앞으로 ▲정보보호 예산 확대 ▲기술 등 정보보호에 대한 지속적 투자 ▲실효성 있는 기술개발과 전문 인력 양성 ▲정부부처 정보화 담당조직의 보안기능 강화 ▲도입·유지보수 비용 현실화 등 보안 제품과 서비스에 대한 품질관리 방안 마련 등도 함께 추진해야 한다고 한목소리를 내고 있다.

궁극적인 대책은 “발급절차를 없애는 것”
이번 위·변조 논란과 함께 전자정부 행정정보공유시스템 및 센터 구축 계획이 급물살을 타고 있다.
지난 7월 정부혁신지방분권위원회는 ‘행정정보공유 개선방안’을 발표하고, 세계 최고 수준의 전자정부를 구현하기 위해 부처 간 행정정보 공유를 확대해 오는 2007년에는 행정기관, 오는 2008년부터는 공공기관 및 금융기관까지 포괄해 민원서류를 받지 않도록 하는 방안을 내놓았다.
G4C 사업의 하나인 행정정보공유사업은 주민등록정보 등 각 부처별로 보유한 36종의 주요 행정 DB자료들을 공유·활용함으로써, 불필요한 민원서류의 제출을 줄일 수 있어 민원서류의 위·변조를 방지하는 효과가 있을 것으로 예상되고 있다.
송희준 전자정부특별위원장은 “인터넷 서류는 민원인이 발급하는 순간 위·변조 가능성을 안고 있다. 외국의 사례를 봐도 민원인이 신청서만 제출하면 해당 부처에서 신청 정보를 확인할 수 있도록 하고 있다”며, “이번 행정정보공유사업이 이뤄진다면 2006년 말부터 민원인은 행정기관에 신청서 이외의 공문서를 제출하지 않아도 되며, 2007년 말부터는 정부산하기관과 금융기관에도 낼 필요 없게 될 것”이라고 설명했다.
최창학 국장도 “진정한 전자정부는 종이 없는 정부”라며, “행정정보공유로 국민이 직접 민원서류를 떼어 제출하지 않는 것이 궁극적인 위·변조 방지 대책이 될 수 있을 것”이라고 말했다.

정통부 민간 전자문서 위·변조 방지 대책 현실성 떨어져
행정정보공유사업 대상에 금융기관이 포함되어 있기는 하지만, 이는 인터넷 발급서류 전반의 위·변조 방지 대책이 되지는 못할 것으로 보인다.
민간 분야는 비용 분담 등으로 적용이 어렵기 때문. 따라서 민간 분야의 위·변조 방지 대책을 포괄한다면 우선적으로 수령기관 확인절차 준수와 더불어 확인을 쉽게 할 수 있는 자동 검증도구의 개발이 시급한 실정이다.
민간 부문 전자문서 위·변조 방지 대책은 정보통신부에서 지난 10월 4일 내놓았다. 정통부는 이번 서비스 중단 사태 이후 인터넷으로 성적이나 자격증의 증명서를 발급하는 서비스를 하고 있는 대학, 한국산업인력관리공단, YBM시사 등 300여개 기관에 G4C 시스템에서 강구한 기술조치를 이용해 민간에 지원하는 역할을 담당했다.
정통부의 방지 대책에는 방지 기술 개발과 전자문서 이용가이드 제작·배포, 전자분서 해킹 대응체계 구축 등 건전한 이용환경 조성을 추진한다는 것이 포함되어 있다.
기술 대책으로 한국전자통신연구원(ETRI)을 통해 2006년 말까지 ▲PC용 자동 위·변조 확인 시스템과 ▲휴대용 위·변조 확인 시스템 ▲위·변조 시도 차단 시스템을 개발하고, 관련 업계와 협력해 ▲위·변조 방지 저장용 데이터(이차원 바코드) 표준화를 진행한다는 것이다.
PC용 자동 위·변조 확인 시스템은 수동으로 전자문서 위·변조 여부를 확인하는 불편 해소를 위해 전자문서의 내용을 자동 비교하여 즉시 진위를 확인해 주는 시스템이며, 휴대용 위·변조 확인 시스템은 언제 어디서나 전자문서의 위·변조 확인을 위해 휴대용 문서인식 단말기, 검증 모듈, 관리서버를 개발한다는 것. 또한 PC화면상에 표시된 전자문서 내용의 위·변조 시도 시 PC 내에 저장된 원본 내용을 즉시 파기할 수 있는 시스템이 위·변조 시도 차단 시스템이다.
그리고 발급기관별로 상이한 이차원 바코드 형식을 통일하기 위해 관련 업체와 협의해 외부 인터페이스 규격이나 입력·저장 형식 등을 표준화하기 위해 TTA과 전산원이 공동으로 추진하려는 계획이다.
정통부의 이 방지 대책은 근본적인 원인에 대한 대책이 아닌데다 대부분 현실성이 떨어지는 기술 개발 대책을 세웠다는 면에서 비판을 받고 있다. 현실적으로 내년 말까지 개발해 상용화한다는 것이 불가능하다는 게 대부분의 의견이다. 기술적으로 현실성이 떨어지는 이유는 이미지로 스캐닝 되는 문서 내용을 인식해 자동 비교하기 어려운 문제나 문자인식 기술 적용 시 에러율 문제, 휴대용 확인 시스템의 활용성 불투명, 교묘한 위·변조 시도 시 탐지의 어려움 때문이다.
임종인 원장은 “법 제도적으로 뒷받침 되어야 기술적인 솔루션도 빛을 발할 것”이라고 지적했으며, 김귀남 한국사이버테러정보전학회장도 “현재 국내 보안기술 수준으로는 내년 말까지 개발해 상용화한다는 것은 실현 불가능하다”며, “위·변조의 위험성을 알리는 국민 대상 홍보와 인터넷 민원서류를 취급하는 기관들의 원본 대조 작업 등에 대한 교육에 투자하는 것이 단기적으로 훨씬 더 효과적일 것”이라고 말했다.

“정부 종합 대책은 진일보한 조치...
행정정보공유사업은 진작에 추진되었어야”
“이번에 잇따라 발생한 두가지 사건은 서비스 운영 주체들과 이를 감독하고 관리하는 정부, 기술개발을 담당하고 있는 보안업체, 개인 사용자들까지 모든 주체들이 함께 보안에 대한 책임의식을 강화시킬 수 있는 계기가 되었다”
“인터넷으로 연결된 PC는 그 자체가 안전하지 않은 단말기다. 하지만 사용자들은 온라인상에서는 크게 주의하지 않아도 사고가 일어나지 않을 것이라는 환상을 갖고 있다. 서비스 주체들뿐만 아니라 개인들 스스로가 조심해야한다는 인식을 가질 필요가 있다.”
안철수연구소 시큐리티대응센터 강은성 상무는 PC를 사용하고 있는 사용자들 스스로 보안에 주의할 것을 당부했다. 또한 “이번에 잇따라 발생한 두가지 사건은 서비스 운영 주체들과 이를 감독하고 관리하는 정부, 기술개발을 담당하고 있는 보안업체, 개인 사용자들까지 모든 주체들이 함께 보안에 대한 책임의식을 강화시킬 수 있는 계기가 되었다”고 진단했다.

“온라인은 안전할 것이라는 환상 없애야”
강 상무는 인터넷 뱅킹 해킹 사고 이후 정부에서 내놓은 종합 대책에 대해서도 “공인인증서와 해킹 방지, 보안카드 사용수준 강화 등 세가지를 적절히 결합하고, 보호 대상도 서비스 받는 사용자PC로까지 관점을 확대했다는 면에서 진일보한 조치라고 보여진다”고 평가했다.
위·변조 방지 대책으로 중요하게 언급되고 있는 행정정보공유사업은 진작에 추진되었어야 할 사안이며, 위·변조 확인절차를 쉽게 할 수 있도록 제도적으로 마련하는 것이 중요하다는 게 그의 진단이다.
강 상무는 발급 이후 확인절차에 대한 제도적 장치가 중요한 이유로 “위·변조는 개인 사용자PC에서 일어나므로 시스템에서 사용자단을 적으로 봐야하기 때문”이라고 설명하고, “안티바이러스 등 대부분의 보안 솔루션은 시스템 상에서 사용자 자원을 보호의 대상, 즉 동지로 설정하고 있지만, 위·변조 문제는 동지로 믿어온 사용자가 배신한 경우이므로 관점을 달리할 필요가 있다”고 지적했다.
“보안은 지속적인 업그레이드가 필요한 ‘서비스’이며, 일반적인 애플리케이션이나 SI와 같은 방식으로 유지보수 등 서비스 대가기준을 책정하지 않아야 한다.” 강 상무는 보안을 유지하기 위해서는 기본적으로 필요한 솔루션에 제대로 투자하는 마인드를 갖춰야 한다고 거듭 강조했다.

“일반 국민의 눈높이에 맞춘 보호 방안의
개발과 홍보 중요하다”
“보편적으로 국민들이 불편하지 않도록 우리나라 인터넷 망을 보호하는 차원에서 이제 사용자단을 보호하는 영역까지 넓히고 있다. 앞으로 사용자 영역을 포괄하는 활동을 더욱 확대해 국가적으로 보안 수준을 상승시켜 나갈 것이다.”
“인터넷 뱅킹 해킹 사고와 전자문서 위·변조는 이제 보안 위협이 실제로 나의 재산에 손실이 발생하는 단계로까지 발전했다는 것을 보여준다”
김우한 한국정보보호진흥원 인터넷침해사고대응지원센터 본부장은 이번 국가적인 보안 사고에 대해 이렇게 진단하고, “앞으로는 생명까지도 위협할 수 있을 정도로 발전할 것”이라며 보안의 중요성을 강조했다.

재산 피해 일으키는 수준에서 생명 위협하는 단계로 발전
김 본부장이 사용자들에게 ‘인터넷의 취약성 및 위험성 인지’와 ‘적절한 보안관리 유지’를 강조하는 이유는 바로 이 때문이다. “인터넷에 연결되어 있는 모든 것은 안전하지 않다. 정보통신 기술이 급격히 발전하면서 앞으로 펼쳐질 BcN(차세대통합네트웍) 시대에는 전기를 가진 모든 사물이 네트웍에 연결될 것이기 때문에, 항상 해킹의 위협이 존재한다”는 김 본부장은 “적절한 보안관리를 하지 않는다면 해킹에 의해 사용자가 의도하지 않아도 얼마든지 사물이 오동작할 수 있어 대혼란이 발생할 수 있는 우려가 있다”고 지적했다.
그는 서비스 운영주체들과 보안기술 개발업체들의 역할에 대해 “아무리 좋은 솔루션을 갖고 있더라도 사용자가 제대로 모르고 잘 쓸 수 없다면 무용지물이므로, 일반 국민의 눈높이에서 보호할 수 있는 방안을 적용, 개발하고 설명, 홍보하는 것이 중요하다”고 말했다. 전자문서 위·변조 방지 시스템의 경우, 수령기관의 확인 절차에 나서는 어려움을 지적한 것. 김 본부장은 “100% 확인을 전제로 위·변조 방지기술을 적용했다면 이를 국민들이 인지할 수 있는 동시에 쉽게 확인할 수 있도록 해야 한다”고 강조했다.
그는 한국정보보호진흥원 인터넷침해사고대응센터에 대해 “보편적으로 국민들이 불편하지 않도록 우리나라 인터넷 망을 보호하는 차원에서 이제 사용자단을 보호하는 영역까지 넓히고 있다”며, “새로운 해킹 툴이나 웜·바이러스를 수집할 수 있는 허니넷을 구축해 안티바이러스나 안티스파이웨어 등 사용자 영역의 보안업체들과 금감원, 금융ISAC 등에 정보를 주고 있다”고 그 역할을 설명했다. 이로써 보안업체와 관제기관들이 빠르게 신종 공격에 대응할 수 있는 효과를 제공하고 있다는 것이다. 김 본부장은 “앞으로 엔드유저 영역을 포괄하는 활동을 더욱 확대해 국가적으로 보안 수준을 상승시켜 나갈 것”이라고 밝혔다.

서비스 이용자 위주로
정보보호 패러다임이 전환되어야
그동안 정보보호는 제품 및 서비스를 제공하는 주체, 즉 공급자 중심으로 시장이 형성되어왔다.
하지만 이제는 이들 정보보호 제품 및 서비스를 이용하는 객체 즉 수요자 중심으로의 산업 패러다임의 전환이 필요할 때라 여겨진다.
세계적인 IT선진국인 우리나라에서 올해도 크고 작은 정보보호 유출관련 사고로 국민적 관심과 우려를 자아냈다.
대표적인 사건이 인터넷 뱅킹 사고로, 해킹 프로그램을 이용해 고객의 예금 수천만원을 불법적으로 인출했는데 당시 해킹을 시도했던 사람은 이 분야의 초보자로 알려져 그 충격은 더욱 컸다. 다음이 국정감사에서 가장 국민적 관심과 걱정을 불러일으킨 이슈 중의 하나였던 인터넷 민원서류의 위·변조와 해킹가능성을 제기해 전자정부 보안시스템의 문제성을 지적한 행정자치부 국정감사를 들 수 있을 것이다. 우리는 주변에서 개인 신상에 관련된 내용부터 국가적인 사항이 직결된 수많은 일들에 대해 정보보호의 사각지대에 처해 있다. 우선 최근에 발생했던 전자문서의 위·변조 가능성 관련 내용부터 살펴보자.

전자정부 사업 보안의식 미흡
현재 국내에는 인터넷 민원서비스가 공공기관을 비롯, 금융권과 유통업계, 대학 등으로 확산 되고 있지만 정부의 정보보호와 관련된 ‘정보화 역기능 방지’ 예산은 지난해 414억원에서 올해 397억원으로 축소 편성됐다. 행정자치부의 경우에도 2003년부터 인터넷 민원서류의 위·변조 가능성이 제기돼 왔음에도 가상 프린터 제어기술 도입 방침을 실제로 이행하지 않았다는 주장이 업계에서 나오는 등 전자정부 사업의 주무 기관으로서 보안의식이 미흡했다는 지적이 이어지고 있다.
이번에 우려를 낳았던 전자정부의 민원서류 발급 서비스 문제뿐만 아니라 공공기관에 대한 사이버 침해 사고가 갈수록 늘어나고 있는 것도 큰 문제이다.
행정자치부와 국가정보원의 자료에 의하면 공공기관에 대한 사이버 침해는 올해 상반기 3,002건이었다. 이는 작년 같은 기간(1,482건)의 두 배, 작년 전체 3,970건의 76%에 달한다. 작년에도 수치는 2003년(1,323건)에 비해 무려 3배로 늘어났다. 올해 상반기 피해를 입은 3,002개 인터넷 사이트 가운데 절반이 넘는 51%가 교육기관으로 이들 교육기관이 상대적으로 정보보호 대응에 매우 미흡한 것으로 나타났다.
외부에서의 해킹문제 뿐만 아니라 공공기관 직원들의 개인정보보호에 대한 안일한 의식으로 인한 내부유출도 큰 문제이다.
공공기관 직원들에 의한 의도적인 개인정보유출사건이 잇달아 일어나면서 이에 대한 대책 마련도 시급한 실정이다. 올 국정감사 자료에 따르면 2003년 1월부터 올 7월까지 공공기관(정부기관과 지방자치단체)에서 발생한 개인정보 유출사건은 17건으로 집계됐다. 이는 행정자치부가 각 기관으로부터 대략적인 보고를 받아 집계한 것으로 실제 건수는 훨씬 많을 것으로 추정된다.
통신사 고객의 개인정보가 판매됐던 사건, 홈페이지나 인터넷을 통해 누구나 다른 사람의 개인정보를 얻을 수 있을 정도로 개인정보가 방치되어 있으며, 올해 초 사회적으로 큰 이슈가 되었던 연예인의 개인정보가 퍼져나가는 사건은 정부뿐만 아니라 개인, 기업의 정보보호에 대한 인식확산의 필요성을 절실히 느끼게 하는 사건들이다.
이번 사건으로 행정자치부뿐만 아니라 대법원 국세청 등이 인터넷 서류 발급을 잠정 중단하면서 정부는 인터넷 민원서류의 위·변조 사범에 대한 처벌을 대폭 강화하고 대책반을 편성하는 등 민원서류 위·변조 방지 종합대책을 마련하기로 했다. 또한 인터넷 위·변조를 근원적으로 차단할 수 있는 ‘행정정보공유시스템’을 2007년 까지 차질 없이 구축하고 그 이전에 관련법과 제도를 정비하기로 하는 등 전자정부의 온라인 문서보안에 대한 전반적인 문제에 대한 종합적인 대책을 마련하기로 했다.
아울러 행정자치부와 국세청, 대법원 등 관계기관은 합동으로 ‘인터넷 민원서류 보안 대책 특별반’을 구성해 인터넷 민원서류 위·변조 방지를 위한 종합대책을 마련하기로 하는 등 한바탕 소동을 겪었다.

산업과 정부, 시장 전반에서 패러다임 전환 노력 필요
IT강국이라고 자부하는 우리나라에서, 국가기관과 공공기관들이 홈페이지 변조 등 사이버 침해사고에 무방비로 노출돼 있다는 것은 부끄러운 일이 아닐 수 없다.
정보보호는 국가의 기밀 보호와 국가 기간망의 안정적 운영, 안전하고 신뢰받는 전자정부 운영 및 산업기밀 보호 등 국가적 차원의 수요가 급증되고 있을 뿐만 아니라 인터넷 뱅킹, 사이버 트레이딩, 인터넷 예약 등 오늘날 국민생활의 많은 부분을 차지하는 전자상거래의 안전·신뢰성 구축의 필수요소이다. 또한 정보통신서비스 이용자의 사생활보호, 주민등록번호 등 개인정보보호를 위한 핵심적 개념으로 우리 사회에 대두되고 있다.
하지만 이제는, 시장 변화에 소극적으로 대응해온 국내 정보보호 산업계가 추구해왔던 패러다임의 전환을 생각해 봐야 할 시점이다. 그동안 정보보호는 제품 및 서비스를 제공하는 주체, 즉 공급자 중심으로 시장이 형성되어왔다. 하지만 이제는 이들 정보보호 제품 및 서비스를 이용하는 객체, 즉 수요자 중심으로의 산업 패러다임의 전환이 필요할 때라 여겨진다.
먼저 우리가 생각해 볼 수 있는 것은 우선, 시장의 변화에 적응하기 위해서는 서비스 제공자, 즉 주체와 이용자인 고객 간, 즉 객체 간 상호 신원을 양방향에서 확인할 수 있는 기술의 개발을 서둘러야 한다는 것이다.
최근에 발생했던 인터넷 뱅킹 사고는 사용자의 신원확인이 철저하지 못해 발생했던 사고이며, 가짜 은행사이트를 통한 고객의 피해 등은 서비스 제공자의 신원이 명확히 확인되지 못해 발생했던 일련의 사건들이다.
이와 같은 사고의 재발을 방지하기 위해서는 서비스 제공자나 이용자 모두가 서로를 신뢰할 수 있는 수준에서 상호신원을 확인할 수 있도록 관련 기술의 개발 보급이 시급하다.
아울러 안정적인 정보보호를 이용할 수 있도록 하기 위해서는 현재 시스템 내에서 신원확인 등이 가능하도록 되어있는 절차나 방식을 향후에는 시스템 외부에서도 쉽게 확인할 수 있도록 하는 기술개발이 중요하다고 하겠다.
기존 서비스 이용자들은 PC에 접속해서 자신의 ID와 패스워드 그리고 추가적인 이용번호 등을 기입하도록 되어있으나 이를 대체하기 위해서는 다양한 형태의 외부 디바이스를 이용할 수 있도록 해야 할 것이다. USB 포트의 활용, 토큰을 이용한 PKI 구현 그리고 전자서명 및 신원확인시 OPT 등의 이용 확산으로 이용자의 안전을 보다 더 강화시킬 수 있을 것이다.
끝으로, 전자문서 등의 데이터포맷의 표준화가 절실한 실정이다. 최근 전국민적인 관심과 우려를 가져왔던 전자 민원서류 등의 위·변조 및 해킹 가능성으로 인해 국민들은 불안에 떨고 있다. 정부 및 공공기관뿐만 아니라 일선 학교나 학원 등의 성적증명서 등도 위·변조의 대상이 될 수 있는 상황에서 관련 부분의 안전적 이용을 위한 기술 개발이 필수적이라 하겠다. 전자문서 내의 불필요한 정보를 축소하여 정보를 간략히 하고 공공기관 및 은행 등 관련기업 등에서 저장된 정보를 쉽게 검증할 수 있는 툴의 개발도 서둘러야 할 것이다.
그동안 서비스 이용자의 안전성을 고려치 않고 서비스 제공자 일방의 확인에만 치우친 나머지 발생한 일련의 위 사례들은 그간 국내 정보보호 산업계가 추진했던 패러다임의 전환이 필요함을 간접적으로 보여준 것이다. 이러한 기업의 패러다임의 전환은 기업 스스로의 노력뿐만 아니라 정부의 지원과 시장의 성숙함이 동시에 수반되어야 가능하겠다.
정부는 정보보호 관련 예산의 확대를 통해 공공기관 및 지자체등 국민의 이용이 많은 각종 민원서류 등을 안심하고 이용할 수 있도록 해야 할 것이며, 기업들도 자체 정보보호 예산확충을 통해 보다 양질의 서비스를 사용자인 국민들에게 제공해야 할 것이다. 아울러 분리발주제 시행 및 안정적인 서비스 운영대가 기준 적용을 통해 과당 경쟁 및 출혈 경쟁을 자제해 시장에서 공정하고 투명한 질서가 자리 잡을 수 있도록 많은 노력을 기울여야 할 것이다.
세계적으로 명실공히 IT강국으로 위상이 높은 우리나라는 정보보호분야에서는 여전히 열악한 수준이다. 정부차원에서 강력히 추진하고 있는 미래지향적인 IT839정책을 통해 안전하고 편리한 유비쿼터스 IT세상을 만들기 위해서는 정보보호에 대한 정부, 기업 및 국민의 높은 관심과 투자가 필수적이라 하겠다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지