채병건 논설위원

3300만 명이 넘는 국민 정보가 새어나간 쿠팡 ‘정보 대란’의 특징은 그간의 해킹과는 달리 외부가 아닌 내부에서 뚫렸다는 데 있다. SKT 유심 정보 해킹, KT 불법 기지국 접속, 업비트 해킹 등은 모두 바깥에서 몰래 들어와 정보를 빼내갔다. 하지만 쿠팡 사태는 이와 다르다. 회사가 내부 문단속에 실패했다. 피의자인 중국인 전 직원이 퇴직 후에도 인증키를 계속 사용해 장기간에 걸쳐 정보를 유출했다는 게 쿠팡 측의 고소 내용이다. 내부 보안 통제 시스템이 작동하지 않았음을 보여준다. 신용태 숭실대 컴퓨터학부 교수는 “극단적으로 상정하면 퇴사 직원이 처음부터 정보 유출을 목적으로 쿠팡에 개발자로 들어왔을 가능성까지 염두에 두고 대응책 마련에 나서야 한다”고 지적했다.

■

초유의 쿠팡 유출, 내부에서 뚫려

정부도 내부 문단속 점검 나서야

‘내부자 위협’ 방지책 내놓을 때

정보 유출에 관한 한 내부의 보안사고가 바깥의 위협보다 더 파괴적일 수 있다. 내부 유출은 지금도 곳곳에서 벌어지고 있다. 지난 10월 검찰이 기소한 삼성전자 18나노 D램 기술 유출 사건의 피해는 천문학적이다. 중국 회사에 해당 기술이 넘어가면서 삼성전자는 지난해에만 5조원의 매출 감소 피해를 보았을 것으로 추정된다. 심지어 대북 군사정보를 수집하는 군의 ‘언더 조직’인 정보사의 군무원이 금품을 받고 블랙요원 명단을 중국에 넘기는 어처구니없는 사건도 있었다. 지난 8월 2심에서도 징역 20년의 중형이 선고됐을 정도로 심각한 사안이었다. 모두 내부 관리와 통제가 무너진 결과다.

정부는 쿠팡 유출 사태에 엄벌을 예고했고, 경찰은 강제수사에 착수했다. 하지만 여기서 그쳐선 안 된다. 이참에 정부와 공공기관의 ‘내부 문단속’도 꼼꼼히 들여다볼 필요가 있다. 정부·공공기관 데이터엔 재판·범죄 기록, 등기 자료, 질병·진료 기록 등 국가 작동의 기반인 정보가 담겨 있다. 이게 유출돼 악용되거나 오염되면 단순한 정보 유출을 넘어 정부 행정의 마비를 부를 수 있다. 이번에 쿠팡 유출 사태는 협박 이메일이 있었기 때문에 드러났다. 협박이 없었다면 국민은 내 정보가 털렸다는 사실조차 모르는 채로 지냈을 것이다. 마찬가지로 국가기관의 뒷문이 열려 있는데도 이를 모르고 있다면 결정적인 순간에 국가 안보까지 위협하는 약점이 될 수 있다.

미국 국토안보부 산하엔 사이버보안인프라보안국(CISA)이라는 정부 전반의 보안업무를 담당하는 부서가 있다. 이 부처의 ‘내부자 위협(insider threat) 대응책 가이드’에 따르면 비정상적으로 큰 분량의 파일을 첨부한 이메일, 설명되지 않는 스캐너·복사기·카메라 사용, 제한이 걸린 문건 출력 시도, 한 명이 다수의 ID로 접속하는 행위 등 내부자의 ‘이상 행동’이 깨알처럼 명시돼 있다. 이처럼 내부 유출은 촘촘한 시스템으로 막아야지 직원의 양심에 맡길 일이 아니다.

우리 정부 역시 일회성 점검이 아니라 내부자 관리 시스템이 정교하고 엄격하게 마련돼 있는지 다시 확인해야 한다. 보안 책임자의 권한을 더 강화하면서 책임 역시 더 지우고, 보안관리 인력 채용 기준을 높이며, 정부 부처와 공공기관 전반에 걸쳐 어떤 접근도, 누구도 예외를 두지 않는 ‘제로 트러스트’ 보안 마인드를 확산해야 한다고 전문가들은 입을 모은다. 정부·공공기관이 해킹 사고를 겪을 때마다 ‘실제 유출은 확인된 바 없다’는 식으로 모면하려는 태도 역시 더는 용납해선 안 된다. 손기욱 서울과학기술대 교수는 “쿠팡 사태를 계기로 민간뿐 아니라 정부 역시 접속 권한, 접근 범위 등을 더 정교하게 규정하는 ‘내부자 위협’ 대응 가이드라인을 내놓을 때가 왔다”고 말했다. 역사를 돌이켜보면 외부의 위협에 내부의 허점이 결합하며 나라에 재앙을 부르곤 했다. 나당 연합군을 막던 평양성 성문도 결국은 안에서 열렸다. 21세기 디지털 성문에서도 마찬가지다. 외부뿐 아니라 내부의 문단속 시스템을 정비하는 게 무너지지 않는 길이다.

채병건 논설위원

▶ 중앙일보 / '페이스북' 친구추가

▶ 넌 뉴스를 찾아봐? 난 뉴스가 찾아와!

ⓒ중앙일보(https://www.joongang.co.kr), 무단 전재 및 재배포 금지