박근혜 대통령이 25일 대국민 사과를 통해 `연설문 유출 의혹`을 사실상 시인하면서 청와대 보안시스템에 구멍이 뚫렸다는 지적이다. 유출 내용은 연설문을 넘어 청와대 인선과 정책 결정 관련 극비사항까지 범위가 확장됐다.
보안전문가들은 이번 사건을 전형적인 내부자 정보 유출로 분석했다.
박 대통령이 어떤 방법으로 청와대 내부 파일을 최순실씨에게 건넸는지는 밝히지 않았지만 내부자가 보안 규정을 어기고 중요 정보를 넘긴 사례다. 보안 사고 중 가장 큰 피해를 입히는 것이 내부자 유출이다. 권한이 있는 내부자가 중요 정보를 빼돌리면 규모가 크고, 민감한 내용이 대거 포함되는 탓이다.
보안전문가들은 박 대통령이 해당 파일을 작성하고 외부로 건내는 과정에서 청와대 내부 보안 시스템이 전혀 작동하지 않은데 주목했다. 정부 공공기관 업무망은 인터넷과 분리된 이른바 `망분리` 환경이다. 청와대는 통신망을 업무용과 인터넷으로 분리해 외부 침입과 내부 정보 유출을 차단하는 망분리 체제를 갖췄다.
청와대 업무망에서 누군가 최 씨에게 연설문 등 파일을 보냈다면 이메일보다는 보안USB에 저장해 넘겼을 가능성이 높다. 이 과정에서 보안USB가 제대로 관리되지 않았다. 박 대통령은 취임 후 보좌진이 안정되자 연설문 자문을 그만뒀다고 했지만 1년 넘게 이런 상황은 계속됐다.
청와대 내 문서암호화솔루션이나 자료유출방지솔루션(DLP)도 최고 권한을 가진 내부자 앞에서는 무용지물이었다.
보안 전문가는 “청와대는 국정원이 보안을 관리하는데 내부에서 최순실씨에게 이메일이나 메신저로 문서를 보냈다면 모니터링 됐을 것”이라면서 “USB에 담아 사람편으로 전달했을 가능성이 높다”고 말했다.
보안 의식 부재도 지적됐다. 기업에서는 주로 최고경영자(CEO) 등 고위임원이 업무 편의를 목적으로 보안 관리자에게 특별대우나 예외를 요구한다. 예외가 늘어나면 보안 수준은 낮아진다. 청와대 역시 최고권한자인 박대통령에게 보안 규정을 어기는 특별대우를 해줬을 가능성이 크다.
A기업 최고보안담당자(CISO)는 “일부 고위 임원은 사내 보안 교육도 받지 않는다”면서 “실제로 직원 보안수준을 점검하는 모의 테스트에서 경영진이 악성코드가 담긴 이메일을 클릭할 확률이 직원보다 25%나 높다”고 설명했다.
연설문 등이 `대통령기록물`인지를 두고 논란이다. 청와대는 연설문에 대한 문서 중요도 분류도 제대로 하지 않았다. 대통령기록물관리법에 따르면 `대통령의 직무 수행과 관련해 대통령 본인이나 보좌·자문·경호기관이 생산·접수·보유하는 기록물 및 물품`을 대통령기록물로 보고 있다. 이를 무단으로 외부에 유출하면 7년 이하 징역이나 2000만원 이하의 벌금에 처해진다.
김인순 보안 전문기자 insoon@etnews.com
