심재철 ‘침투한’ 재정분석시스템 보안대상 아니다?

유출자료 ‘100만건+α’…정부-심의원 공방 남은 의문점은

재정분석 시스템(OLAP·올랩)은 보안 대상인가, 아닌가? 유출된 자료 규모는 애초 알려진 48만건보다 많은가?

‘비인가 행정정보 유출’ 논란으로 김동연 부총리 겸 기획재정부 장관과 심재철 자유한국당 의원이 2일 국회에서 정면충돌하며 격한 공방을 벌인 뒤에도 논란은 끊이지 않고 있다. 양쪽의 주장이 팽팽하게 맞서고 있는 탓이다. 이날 국회에서의 공방을 계기로 올랩이 보안 대상인지 여부와 유출된 자료 규모가 얼마나 방대한지 등 추가적인 의문도 꼬리를 물고 있다.

■ 올랩은 보안 대상인가 심 의원은 디지털 예산회계 시스템(dBrain·디브레인)과 달리 올랩은 국가정보원 등이 관리하는 ‘주요 정보통신기반시설’로 지정되지 않아 보안 대상이 아니라고 주장한다. 실제로 지난 1월 디브레인만 주요 정보통신기반시설로 지정됐고 올랩은 포함되지 않았다. 가입자·접속자 수 등이 적어 평가항목을 충족하지 못한 탓이다. 예산 편성과 집행, 결산 업무를 처리하는 디브레인은 하루 평균 1만5천명이 접속해 51만건의 정보를 처리하는 방대한 시스템이지만, 디브레인에서 수집된 정보를 가공해 기재부와 각 부처 감사관실, 국회 보좌진에게 제공하는 올랩은 가입자가 1400명에 그친다. 외부 업체에서 10년 가까이 관리를 맡아온 디브레인은 2016년 7월 한국재정정보원이 설립되면서 정부가 관리를 맡았다.

하지만 정부는 디브레인과 올랩 모두 정부의 기간 정보시스템으로 보안 대상이라는 입장이다. 최상대 기재부 재정혁신국장은 “디브레인이든 올랩이든 국가정보통신망은 전부 보안 대상이고, 그중 일부를 주요 정보통신기반시설로 지정해 보안을 강화하는 것”이라고 주장했다. 또 심 의원 쪽은 디브레인과 올랩의 망이 분리됐다고 주장했지만, 기재부는 동일한 국가정보통신망을 사용한다고 반박하고 있다. 이에 따라 디브레인에서 올랩으로 날마다 자동으로 자료가 전송된다는 것이다.

기재부 해명에도 불구하고, 디브레인과 연계된 올랩이 주요 정보통신기반시설로 지정돼 있지 않은 것은 의문이다. 특히 기재부 주장대로 국가 안위를 위협할 소지가 있는 정보를 담고 있다면 가입자 수가 적더라도 보안을 강화했어야 하는 것 아니냐는 지적이 나올 수 있기 때문이다. 주요 정보통신기반시설로 지정되면 국가정보원과 과학기술정보통신부가 관리를 맡으면서, 시스템의 취약점을 평가하고 해킹 등에 대한 예방과 복구대책 등도 마련한다. 또 정보통신기반 보호법을 보면, ‘접근 권한을 가진 자가 그 권한을 넘어 주요 정보통신기반시설에 저장된 데이터를 유출하는 행위’를 명백히 금지하고 있다.

■ 유출 자료는 100만건 이상? 김 부총리는 2일 심 의원에게 “설령 (비인가 영역에) 들어갔다더라도 190회에 걸쳐 100만건 이상이 다운로드가 됐는데 이 부분은 명확히 위법성을 가려야 할 사안”이라며, 내려받은 정보 건수가 ‘100만건 이상’이라는 점을 수차례 강조했다. 앞서 기재부는 내려받은 정보 건수를 ‘48만건’으로 설명해왔는데 이 수가 갑절 이상 늘어난 것이다.

이에 대해 기재부는 심 의원실에 대한 압수수색 등 검찰 수사 과정을 통해 애초 밝힌 48만건보다 훨씬 많은 수의 정보가 흘러나갔다는 것을 확인했다고 밝혔다. 검찰의 압수수색 전까지 기재부는 시스템 검증을 통해 심 의원 쪽이 자료를 내려받은 횟수는 파악할 수 있었지만, 내려받은 자료의 범위는 정확히 파악하지 못했다. 예를 들어 한 부처 전체 자료를 내려받은 것인지, 부서 단위의 자료만을 받은 것인지가 불분명했던 것이다. 따라서 유출 자료를 최소치로 잡아 48만건이라고 고발했다는 것이다. 김용진 기재부 2차관은 “검찰이 심 의원실 컴퓨터를 압수수색해 디지털 포렌식을 하는 과정에서 자료를 내려받은 범위가 좀 더 구체적으로 확인됐다. 여전히 확정하긴 이르지만 그 수는 100만건을 넘어서 좀 더 사실에 가까운 추정치로 설명했다”고 말했다. 정은주 방준호 기자 ejung@hani.co.kr