[국감2018] 심상정 의원 "삼성SDS 컨소시엄, 재정시스템에 백도어 설치해 국가기밀 열
디지털데일리발행일 2018-10-16 15:26:13
가
가
이상일
[디지털데일리 이상일기자] 디지털예산회계시스템 ‘디브레인’에서의 비인가 재정정보 유출 논란이 급기야 이 시스템 구축을 맡았던 삼성SDS컨소시엄에 대한 조사 요구로 확대돼 주목된다.
16일 심상정 정의당 의원은 “시스템 구축을 맡은 삼성SDS 컨소시엄이 시스템에 백도어를 심어놓았는지, 언제부터 언제까지 유지되었는지, 재정정보원이 백도어를 통제하고 있었는지, 인수 시 백도어 검증 여부 등을 점검해 재정정보원의 시스템 보안관리 수준을 확인할 필요가 있다”고 밝혔다.
디브레인 중 ‘올랩’은 국회‧감사관 등이 필요한 정보를 열람할 수 있게 한 서비스로 국회의원과 감사관의 자료접근 권한을 구분해두고 있다.
즉, 심상정 의원의 주장은 '삼성SDS 컨소시엄이 백도어를 심어놓고 국가 기밀인 국가재정시스템의 내용을 들여다봤다'는 것으로 요약된다. 만약 이것이 사실로 판명될 경우 상당한 후푹풍이 불가피할 것으로 보인다.
심상정 의원측에 따르면 이번 자료유출은 국회 의원실 ID로 적법하게 로그인하여 → ‘시스템 오류를 유발하는 조작’을 통해 → 모든 피감기관에 대한 세부내역 정보에 접근가능해지며 발생했다.
이는 국회의원 권한도 아니고, 감사관실 권한도 아닌 제3의 권한으로 심 의원은 “‘관리자 모드에서 보이는 최종 정보화면(인터페이스)’에 접근한 것으로 한국재정정보원에 확인했다. ‘관리자만 접근 가능한 자료’에, 어떤 경로인지는 모르나, 접근해 유출했다는 점에서 더 심각한 문제“라고 지적했다.
특히 ‘시스템 오류를 유발하는 조작’은 단순한 ‘오류’일수도 있지만, 우회로를 통해 관리자 모드로 접근한 점을 고려하면 전산개발자나 관리자가 만들어둔 ‘백도어’일 가능성이 높다고 전문가들은 지적하고 있다는 것이 심 의원측의 주장이다.
심 의원은 “관리자 모드가 해킹되었거나, 백도어가 존재하고 공모자가 있을 가능성이 있다. 두 가지 경우 모두 재정정보원의 보안관리 소홀의 책임으로 백도어가 존재한다면 재정정보원 밖의 구축업체 개발자, 관리자 등까지 공모 가능성이 확대된다”고 밝혔다.
해당 시스템은 개발업체인 삼성SDS가 주사업자를 맡았으며 컨소시엄으로 하나INS, 현대정보기술, 아토정보기술이 참여했다. 올랩은 현대정보기술에서 구축했다. 2007년부터 국가정보를 공유해왔을 수 있다는 점에서 심각한 문제이며, 관리자가 만든 백도어라면 국가정보 유출 범죄에 이용됐을 가능성이 높다는 것이 심 의원의 설명이다.
구축 이후 운영업체는 삼성SDS 컨소시엄(삼성SDS, 하나INS, 현대정보기술, 아토정보기술 / 삼성SDS, LG CNS / 삼성SDS, IT메이트, 하나INS, 요다정보기술, 성민정보기술), KTNET 컨소시엄(KTNET, 아이티메이트, 요다정보기술, 성민정보기술) 등이다. .
심 의원은 “‘관리자 모드’ 백도어에 대한 의혹까지도 철저한 검찰수사가 필요하며, 디브레인과 올랩 구축업체부터 지금까지 운영을 맡아왔던 업체 모두 샅샅이 조사해야 한다. 또한 행정부 각 부처 및 산하기관에서 사용하고 있는 모든 전산시스템에 대한 백도어 전수조사가 필요하다”고 강조했다.
한편 삼성SDS 측는 심상정 의원의 의혹 제기에 '백도어는 있을 수 없다'며 반박했다. 삼성SDS측 관계자는 이와관련 "삼성SDS는 지난 2014년5월 운영사업 계약 종료 후, 디지털예산회계시스템과 관련한 어떠한 상황도 알지 못한다"고 입장을 밝혔다.
특히 삼성SDS측은 "과거 개발 프로젝트 종료시 정부로부터 보안, 권한 심사를 받기때문에 이런 문제가 있었다면 검수 확인 및 사업 종료가 안됐을 것"이라며 "또한 시스템 운영(유지보수)을 맡고 있을때에도 매년 수차례 보안 감사를 받았으나 문제점이 없었다"는 점을 강조했다.