침해사고/위협동향

[국감2020] 올해 국감서 주목받은 보안 이슈는?·· n번방, 개인정보 등에 집중

이종현

[디지털데일리 이종현기자] 지난 7일 국회 국정감사가 시작된 이후 과학기술정보방송통신위원회(이하 과방위), 행정안전위원회(이하 행안위), 정무위원회(이하 정무위) 등 각각의 상임위원회에서 보안 관련 이슈들이 제기됐다.

사회 각 분야에서 이전보다 보안 문제가 광범위하게 확산되고 있고, 더구나 언택트 시대의 개막으로 점차 그 범위가 넓어지고 심각해질 수 밖에 없다는 점에서 우려를 던지고 있다.

보안업계 전문가들은 "매년 국감에서 지적되는 보안 이슈지만 단순히 문제 제기로 끝나지 않고 국감이후 실질적인 대응이 이뤄질 수 있는 강력한 정책이 뒷받침돼야할 것"이라고 주문하고 있다.

◆해킹 위협 늘고 있지만 보안 인력은 제자리 = 먼저 과방위 국감에서는 코로나19 이후 화두로 떠오른 화상회의 등 비대면(언택트) 서비스에 대한 보안 우려가 지적됐다.

해킹된 PC로 화상회의 솔루션을 이용할 경우 기술·정보 유출이 있을 수 있다고 지적한 황보승희 의원(국민의힘)은 과학기술정보통신부(이하 과기정통부)가 보안 컨트롤 타워로의 역할을 수행할 것을 당부했다.

해커들의 주요 공격 대상이 PC에서 모바일로 옮겨간 만큼 모바일 환경의 보안에 힘 쏟아야 한다는 목소리도 나왔다.

한준호 의원(더불어민주당)은 한국인터넷진흥원(KISA) 자료를 통해 지난 5년간 PC를 통한 디도스(DDoS), 홈페이지 변조, 악성코드 은닉 등의 공격이 25% 준 데 반해 모바일 악성 애플리케이션(앱)은 5.5배가량 증가했음을 알렸다.

국가기반 시설인 원자력발전소에 대한 위협도 경고됐다. 양정숙 의원(무소속)은 지난 5년간 한국수력원자력을 대상으로 한 해킹 시도가 527건 발생하는 등 보안 위협이 지속하고 있으나 이를 담당하는 보안 전문 인력은 턱없이 부족하다고 꼬집었다.

국내 원자력 시설 등의 사이버 보안 규제 이행 전담 기관인 한국원자력통제기술원은 사이버 보안 담당 인력 14명으로 국내 원자력 시설 40기를 전담하고 있다.

◆n번방, 텔레그램··· 국민 관심사 집중된 행안위 = 행안위 국감에서는 경찰청 국정감사 중 국민적 공분을 산 n번방에 대한 질의가 주목을 끌었다.

김영배 의원(더불어민주당)은 경찰이 텔레그램에 자료제공을 요청했으나 응답은커녕 수신확인도 이뤄졌는지 파악하지 못했다고 비판했다.

국감에 출석한 경찰청 관계자는 “텔레그램으로부터 수사 관련 어떤 협조도 받지 못하고 있다. 이는 미국 연방수사국(FBI) 등 세계 각국의 수사기관도 마찬가지”라며 “협조가 원활하지 않아 가해자 특정 수사에 상당한 시일이 소요되고 있다”고 답했다.

이에 대해 김영배 의원은 “텔레그램 본사에 찾아가기라도 해서 수사의지를 표명하고 국민의 분노에 응답해야 했다”고 지적하며 “텔레그램과 같은 해외 플랫폼 사업자들이 등록돼 있는 구글플레이, 앱스토어 등 앱 마켓 사업자에게 의무를 부과하는 등 실질적인 해결책을 강구할 것”이라고 전했다.

최근 문제시된 신상정보 폭로 사이트 ‘디지털교도소’도 다뤄졌다. 오영환 의원(더불어민주당)은 경찰이 7월 14일부터 디지털교도소의 삭제·차단 심의를 의뢰했으나 2개월 이상이 지나서야 차단조치가 된 것에 대해 경찰과 방송통신심의위원회와의 협의를 통해 발 빠른 대처가 필요하다고 주문했다.

또 허술한 국내 공공기관 홈페이지의 보안 실태도 폭로됐다. 김영배 의원은 국내 공공기관 홈페이지 1280개 중 폐쇄한 69곳을 제외한 1211개 중 585곳이 https를 적용하지 않았다고 지적했다.

김영배 의원은 국정감사 현장에서 법제처 홈페이지 해킹 장면을 직접 시연하며 “누구나 다운로드받을 수 있는 프로그램으로 개인정보를 탈취할 수 있다. 국민의 개인정보는 물론이고 정부기관의 내부 문서도 줄줄이 유출될 수 있는 상황”이라고 주장했다.

◆5년간 개인정보 유출 6414만건··· 건당 과징금 258원 = 개인정보보호위원회(이하 개보위) 감사를 맡은 정무위원회에서는 개인정보 관련 이슈가 쏟아져 나왔다. 주로 다뤄진 내용은 코로나19 상황 속 개인정보보호다.

권은희 의원(국민의당)은 방역당국이 코로나19 역학조사 과정에서 과도하게 개인정보를 수집하고 있다고 비판했다. 감염병 예방 및 관리에 관한 법률(이하 감염병예방법)이 보장하는 범위를 초월한 초법적 개인정보 수집이 이뤄진다는 것.

정부는 코로나19 확산을 초래한 이태원 클럽 당시 방역당국이 9개 클럽의 장소, 날짜, 시간을 특정해 기지국의 위치정보를 수집하는 방식으로 역학조사를 진행했다.

하지만 권은희 의원에 따르면 기지국의 위치정보 수집은 건물 내와 건물 외를 구별할 수 없어 이태원 클럽 방문자가 아닌 그 일대 전체에 대한 개인정보가 수집됐다. 개인정보 과잉수집이라는 것이 권은희 의원의 지적이다.

또 김병욱 의원(더불어민주당)은 코로나19 이후 다중집합시설 이용시 작성을 의무화한 출입명부 중 QR코드 기반의 전자출입명부에 대한 관리·감독 매뉴얼 부재를 꼬집었다. 매뉴얼이 없어 16개 항목으로 구성된 체크리스트만을 이용해 점검하는 등 체계가 허술하다고 비판했다. 전자출입명부는 6월부터 9월까지 1억4500만건 이상 사용됐다.

개인정보유출 사고에 대한 처벌 강화가 필요하다는 의견도 개진됐다. 개보위 자료에 따르면 지난 2016년부터 올해 9월까지 유출된 개인정보는 총 6413만9292건이다. 이중 행정처분이 확정된 건수는 5086만9241건이며 131억3620만원의 과징금(과태료 포함)이 부과됐다. 유출 건당 258.2원의 과징금이 발생했다.

박광온 의원(더불어민주당)은 “전문가들이 개인정보 유출이 지속되는 주요 원인으로 지적하는 것이 솜방망이 처벌”이라며 “징벌적 손해배상제도를 적용하고 있는 유럽 일반개인정보보호법(GDPR)과 같은 수준으로 국내법과 제도를 개선해야 한다”고 피력했다.

◆산적한 보안 문제, 법·제도로 풀어야 = 올해 국정감사에서 제기된 보안 이슈들에 대해 업계 관계자는 “코로나19 이후 디지털 서비스의 사용량이 급증하면서 사이버 보안에 대한 현안 질의가 다수 이뤄진 것으로 보인다”고 말했다.

이어서 그는 “보안은 기술 이상으로 법이 중요하다. 대다수의 기업·기관이 예산을 문제로 보안은 뒷전으로 하는 경우가 많기에, 법으로 일정 이상의 보안 수준을 유지하도록 해야 한다”며 “국정감사장에서 논의된 다양한 이슈들이 단발성 지적에 그치지 않아야 할 것”이라고 밝혔다.

한편 지난 7일 시작한 국정감사는 오는 26일까지 이어진다. 감사대상 기관은 총 643개 기관이며 일부 위원회의 경우 26일 이후에도 별도 국정감사가 이어질 예정이다.

<이종현 기자>bell@ddaily.co.kr

이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널