‘비인가 행정 정보 유출’ 논란으로 김동연 부총리 겸 기획재정부 장관과 심재철 자유한국당 의원이 2일 국회 본회의장에서 정면충돌한 데 이어 남은 쟁점을 둘러싼 공방이 계속되고 있습니다. 핵심 쟁점은 두 가지입니다. 주요 정보통신 기반시설로 지정되지 않은 재정분석시스템(OLAP·올랩)을 보안대상으로 볼 수 있는지와 ‘감사관실용’이라는 문패를 경고로 해석할 수 있는지입니다. 또 심 의원 쪽에서 보유한 행정 정보가 얼마인지, 심 의원의 업무추진비 사용 내용을 기재부가 확인했는지 등도 궁금점으로 남아 있습니다.
재정분석시스템은 보안대상인가, 아닌가?
심 의원은 디지털 예산회계시스템(dBrain·디브레인)과 달리 올랩은 국가정보원 등이 관리하는 ‘주요 정보통신 기반시설’로 지정되지 않아 보안대상이 아니라고 주장합니다. 실제로 지난 1월 디브레인 시스템만 주요 정보통신 기반시설로 지정됐고, 올랩은 포함되지 않았습니다. 가입자·접속자 수 등이 적어 평가항목을 충족하지 못했기 때문입니다. 예산 편성과 집행, 결산 업무를 처리하는 디브레인은 하루 평균 1만5천명이 접속해 51만건의 정보를 처리하는 방대한 시스템이지만, 디브레인에서 수집된 정보를 가공해 기재부와 각 부처 감사관실, 국회 보좌진에게 제공하는 올랩은 가입자가 1400명에 그칩니다. 외부 업체에서 10년 가까이 운영하던 디브레인은 2016년 7월 한국재정정보원법 제정으로 한국재정정보원이 설립돼 정부가 관리를 맡았다.
하지만 정부는 디브레인과 올랩 모두 정부의 기간 정보시스템으로 보안대상이라고 설명합니다. 최상대 기재부 재정혁신국장은 “디브레인은 2007년에 구축돼 올해 1월에 주요 정보통신 기반시설로 지정됐는데 심 의원 쪽 주장대로라면 10년간 보안대상이 아니었다는 말이 된다. 정부의 예산 편성·집행 시스템이 어떻게 보안대상이 아닐 수 있겠나. 디브레인이든, 올랩이든 기간 정보통신망은 전부 보안대상이고, 그중 일부를 주요 정보통신 기반시설로 지정해 보안을 강화하는 것이다”라고 말합니다. 앞서 디브레인을 관리하는 재정정보원이 지난 6월1일부터 8월31일까지 컨설팅을 받을 때도 올랩을 포함한 운영 중인 대부분의 시스템을 포함한 이유입니다.
또 심 의원 쪽은 디브레인과 올랩의 망이 분리됐다고 주장했지만 기재부는 동일한 국가정보통신망을 사용한다고 밝혔습니다. 이에 디브레인에서 올랩으로 날마다 자동으로 자료가 전송된다고 합니다.
하지만 디브레인과 연계된 올랩이 주요 정보통신 기반시설로 지정되지 않은 것은 아쉬운 대목입니다. 특히 기재부의 주장대로 국가 안위를 위협할 소지가 있는 정보를 담고 있다면 가입자 수가 적더라도 보안을 강화했어야 합니다. 주요 정보통신 기반시설로 지정되면 국정원과 과학기술정보통신부가 관리하는데 시스템의 취약점을 평가하고, 해킹 등에 대한 예방과 복구대책 등도 마련합니다. 또 정보통신기반시설 보호법을 보면, ‘접근 권한을 가진 자가 그 권한을 넘어 주요 정보통신 기반시설에 저장된 데이터를 유출하는 행위’를 명백히 금지하고 있습니다. 올랩이 디브레인처럼 주요 정보통신 기반시설이었다면, 심 의원 쪽은 이 법을 위반했을 가능성이 커 보입니다.
‘감사관용실’ 문패 어떻게 돼 있길래…고의성 기준 될까?
이번 재정정보 유출 사건에서 큰 쟁점 중의 하나는 심 의원 쪽의 고의성 여부입니다. 이와 관련해 지난 2일 국회 경제분야 대정부 질문에서도 김동연 부총리와 심 의원은 ‘감사관실용’이라는 문구를 두고 격한 공방을 벌였습니다. 심 의원 쪽은 비인가 정보를 내려받는 과정에서 ‘뉴루트’ 화면에 이어 나타난 여러 폴더 가운데 ‘재정집행실적(감사관실용)’이라고 적힌 폴더를 클릭했습니다. 이를 두고 김 부총리는 “‘감사관실용’이라고 하는 경고가 같이 떠 있었다”며 고의성을 주장하는 반면, 심 의원은 “봐서는 안 되는 내용이라고 아무 데도 적혀 있지 않았다”고 반박한 것입니다. ‘감사관실용’이라는 문구가 있다는 점은 양쪽 모두 인정하지만 그것이 경고문구이냐 아니냐를 두고 논란이 이어지고 있는 셈입니다. 이는 결국 심 의원이 불법적인 방식으로 비인가 행정자료에 접근하고 있다는 사실을 인지했느냐는 논란과 맞닿아 있습니다.
심 의원은 “들어가서 보라고 아이디를 줘서 들어갔더니 아무런 표시도 없었다”며 “이는 정부의 정보관리 실패”라고 규정합니다. 하지만 정부는 6년 이상 시스템을 활용해온 심 의원 쪽이 자료 접근의 ‘비정상성’을 충분히 인지했을 거라고 판단하고 있습니다. 한국재정정보원 관계자는 “심 의원의 접근 방식은 누가 보더라도 일반적인 온라인 서비스 제공 방식이 아니었다”며 “온라인에서의 접근 권한은 과거처럼 빨간색으로 문자를 새겨넣거나 문서에 두 줄을 긋는 식으로 설정되는 것이 아니고 정상적인 방식으로 해당 등급의 아이디가 볼 수 있는 화면이 무엇이냐에 따라 결정된다”고 주장합니다. 여기에 더해 정부는 비인가 영역에 대한 접근이 우연히 이뤄졌더라도 190차례에 걸쳐 자료를 내려받는 동안 자료 접근의 불법성을 인지할 수밖에 없었다는 점도 강조하고 있습니다. 김 부총리는 “공직자라면 ‘감사관실용’을 본다면 들어가지 않아야 한다”며 “우연히 들어갔더라도 100만건 이상을 다운로드 받고 그것을 공개하는 것은 부적절한 행위”라고 주장했습니다.
유출자료는 48만건보다 많은 100만건 이상?
김 부총리는 2일 심 의원에게 “설령 (비인가 영역에) 들어갔다 하더라도 190회에 걸쳐 100만건 이상이 다운로드가 됐는데 이 부분은 명확히 위법성을 가려야 할 사안”이라며, 내려받은 정보 건수가 ‘100만건 이상’이라는 점을 수차례 강조했습니다. 앞서 기재부는 내려받은 정보 건수를 ‘48만건’으로 설명해 왔는데 이 수가 두 배 이상 늘어난 것입니다.
심 의원실에 대한 압수수색 등 검찰 수사 과정을 통해 당초 밝힌 48만건보다 훨씬 많은 수의 정보가 흘러나갔다는 것이 드러났기 때문입니다. 검찰의 압수수색 전까지 기재부는 시스템 검증을 통해 심 의원 쪽이 자료를 다운로드한 횟수는 파악할 수 있었지만, 내려받은 자료의 범위는 정확히 알지 못했습니다. 예를 들어 한 부처 전체 자료를 내려받은 것인지, 부서 단위의 자료만을 받은 것인지가 불분명했던 것입니다. 그래서 유출 자료를 최소치로 잡아 48만건이라 고발했습니다. 다만 대통령 비서실 등 특정 기관의 정보는 거의 모두 다운로드된 상태였기에, 남북정상회담 식자재 업체 등 유출 사례를 설명할 수 있었습니다. 김용진 기재부 2차관은 “검찰이 심 의원실 컴퓨터를 압수수색해 디지털 포렌식을 하는 과정에서 자료를 내려받은 범위가 좀 더 구체적으로 확인됐다. 여전히 확정하긴 이르지만 그 수는 100만건을 넘어서 좀더 사실에 가까운 추정치로 설명했다”고 말했습니다.
대정부 질문에서 김 부총리가 “(심 의원이 지적하고 있는 업무추진비 사용 문제는) 심 의원이 국회에서 보직을 가지고 계실 때 주말에 쓴 것과 똑같은 것”이라며 “행정부도 같은 잣대로 봐달라”고 공박한 부분도 의문점이 있었습니다. 부총리가 심 의원의 업무추진비 내역을 이미 살펴 봤다는 의미로 해석될 여지가 있어 보입니다. 김 부총리가 심 의원의 해외 체류기간 동안 유류비 사용 등 구체적인 사례까지 들어 공세를 이어간 탓입니다. 하지만 기재부는 “단지 부총리가 추정하여 말한 것”이라고 공식적으로 설명합니다. 최상대 국장은 “정부가 실제로 심 의원 업무추진비 내역을 확인한 것은 아니”라며 “심 의원도 국회부의장 등 보직을 가지고 있을 때 행정부와 마찬가지로 불가피하게 늦은 시간이나 주말에 업무추진비를 사용했고, 그 사용처도 크게 다르지 않은 것은 충분히 추정할 수 있는 만큼 이를 토대로 이야기한 것”이라고 부총리의 발언을 설명했습니다.
정은주 방준호 기자 ejung@hani.co.kr