정부는 단속규정 없어 `허공에 자료 방치`
8일 취재팀이 정부과천청사에서 무선공유기 사용 실태를 파악한 결과 모두 12대의 서로 다른 무선공유기가 발견됐다. 이 중 보안설정을 하지 않은 공유기가 8대였다. 이 같은 사실은 청사 안에서 일반 노트북으로 무선 연결망을 검색한 결과 쉽게 확인할 수 있었다. 농림수산식품부는 4층 제1, 2차관실에서 누군가가 공유기로 접속을 한 상태였고 기획재정부는 2층 대회의실에서 무선공유기를 사용하고 있었다. 이날 지식경제부 두 대를 제외한 나머지 공유기는 모두 초보적인 보안설정조차 하지 않은 상태였다.
○ 취약한 해킹불감증
기획재정부와 고용노동부가 함께 쓰는 청사 1동에서는 양 부처의 영문 명칭을 줄인 말인 `MOSF(기획재정부·Ministry of Strategy and Finance)`와 `MOEL(고용노동부·Ministry of Employment and Labor reserved)`이라는 이름의 무선공유기가 감지됐다. 법무부와 환경부가 함께 쓰는 건물과 국토해양부 건물에서도 보안을 설정하지 않은 공유기가 발견됐다. 지식경제부 건물에서는 `MKE(지식경제부·Ministry of Knowledge Economy)`라는 이름의 공유기 두 대가 발견됐다. 이날 정부과천청사에서 발견된 공유기 중 외부인이 침입할 수 없도록 보안설정을 해놓은 것은 지경부 공유기 두 대가 유일했다.
이 같은 공유기 사용은 정보 유출에 치명적인 결과를 가져올 수 있다. 취재팀이 11일 고려대 정보보호대학원과 모의 해킹을 실험한 결과 보안설정이 없는 무선공유기를 통해 쉽게 인터넷 ID와 비밀번호를 탈취할 수 있었다. 시중에서 2만∼3만 원대에 살 수 있는 외장형 무선랜카드를 PC에 꽂고 해킹 프로그램을 내려받아 실행만 하면 되는 것.
실험 결과 50여 개의 무선네트워크와 해당 네트워크에 접속한 노트북, 스마트폰의 종류가 화면에 표시됐다. 이 중 보안설정이 없는 무선공유기에 접속한 `Open(개방)`이라는 항목을 선택하자 즉석에서 100m가량 떨어져 있는 대학원생 정모 씨(27)의 구글 ID와 패스워드를 확인할 수 있었다. 정 씨가 접속에 제한을 두지 않는 무선네트워크에 접속해 있었기 때문에 정 씨가 스마트폰을 통해 구글 홈페이지에 로그인하며 입력한 개인정보가 즉시 노출된 것이다.
○ 심각한 보안 불감증
중요 기밀을 다루는 공공기관에서 무선공유기를 아무런 보안장치 없이 사용하는 것은 정보가 새나가는 `구멍`을 스스로 만들어놓는 셈이라는 지적이 있다. 특히 최근에는 무선공유기를 대상으로 한 해킹 프로그램도 인터넷에서 손쉽게 구할 수 있다. 인터넷에 유포된 해킹 프로그램을 이용하면 무선공유기에 접속한 노트북이나 스마트폰 이용자들의 인터넷 ID와 비밀번호 등을 즉석에서 수집할 수 있는 것. 이는 앞서 구글이 한국과 미국 등에서 자동차에 무선공유기 정보를 수집하는 장비를 싣고 다니며 e메일이나 메신저 송수신정보 등을 수집해 문제가 된 것과 같은 방식이다. 이처럼 무선공유기의 취약한 보안 때문에 삼성이나 LG 같은 기업에선 사무실 에서 아예 사용을 금지하고 있다. 일부 기업은 한 발 더 나아가 외부에서 노트북을 반입하는 것조차 허용하지 않고 있다.
임종인 고려대 정보보호대학원 교수는 "무선공유기를 이용하면 일반인도 쉽게 공무원들이 접속하는 홈페이지의 ID와 패스워드를 훔칠 수 있는 해커가 될 수 있다"며 "공공기관은 민감한 정보를 더 많이 보유한 만큼 보안을 철저히 해야 한다"고 지적했다.
○ 관련 제도도 미비
더 큰 문제는 공공기관에서 보안에 취약한 무선공유기를 사용하는 것을 금지할 법적 근거가 없다는 점이다. 국가정보원의 `국가 정보보안 기본지침`은 공공기관이 무선인터넷을 쓰기 위해서는 사전에 보안성 검사를 받도록 권고하고 있지만 단속 규정이나 처벌 규정은 없다. 이 때문에 실효성 있는 정부 차원의 정보보안 대책이 시급하다는 지적이다.
행정안전부 김회수 정보보호정책과장은 "무선공유기가 해킹에 악용될 가능성이 높다는 것은 알고 있지만 현행 규정으로는 부적절한 사용자들을 단속할 수 없고 단속한 사례도 없다"며 "명백하게 내부 기밀이 유출된 것이 확인될 경우에만 경고조치 등 인사상의 불이익을 주는 수준"이라고 말했다.
일각에선 과거 정보보호 대책을 총괄하던 옛 정보통신부가 해체된 뒤 정보보호 정책 기능이 행안부 지경부 방송통신위원회로 쪼개져 종합적인 정책 수립이 힘들다는 지적도 나오고 있다.
정진욱 기자 coolj@donga.com
ⓒ 동아일보 & donga.com, 무단 전재 및 재배포 금지
