본문 바로가기

[단독]靑자료유출 시스템 설계자 "자물쇠 안한 기재부 책임"

중앙일보 2018.10.05 01:40 종합 6면 지면보기
최용락

최용락

심재철 자유한국당 의원실의 한국재정정보원 디지털예산회계시스템(디브레인) 접속 및 자료 입수 경위를 놓고 위법성 논란이 진행되는 가운데 데이터베이스 구축 작업에 참여했던 정보기술(IT) 전문가가 “보안관리 문제가 사건의 핵심”이라는 입장을 밝혔다.
 

기밀유출 논란 DB 설계 최용락
“백스페이스 두 번에 자료 떴다니
접속 로직 새어나갔는지 조사 필요
심재철 가져간 자료는 반환해야”

디브레인 자문위원을 맡은 공로로 2014년 대통령 표창을 받은 최용락(60) 컴퓨터학 박사는 지난 3일 디브레인을 예산 집행 정보의 창고에 비유했다. 그는 “창고에 들어가 물건을 훔쳐 나왔느냐가 이번 문제의 쟁점”이라며 “그런데 심 의원에게 창고에 들어갈 수 있는 공식 자격이 있는 이상 나는 시건장치를 따로 마련해 중요한 물건을 숨겨놓지 않은 창고지기(기획재정부)의 책임이 크다고 본다”고 지적했다.
 
심 의원 측은 정상적인 권한과 접속 절차를 활용한 만큼 문제될 게 없다는 입장이다. “국회 업무용 PC에 기본 설치된 프로그램을 통해 의원실이 보유한 ID로 디브레인에 접속한 후 백스페이스키를 눌렀더니 자료가 나와 다운로드받았을 뿐”이라는 것이다. 반면에 김동연 기획재정부 장관은 지난 2일 국회에서 “적어도 여섯 번의 경로(화면)를 거쳐야 하고 그중 분명 ‘감사관실용’이라는 경고가 떠 있다”며 심 의원실의 행위가 불법적이었다고 반박했다. 앞서 기획재정부는 심 의원과 보좌진을 정보통신망법 및 전자정부법 위반 혐의로 검찰에 고발했고, 압수수색까지 진행됐다.
 
자유한국당 심재철 의원(왼쪽)이 2일 국회 본회의 경제 분야 대정부 질문에서 김동연 부총리 겸 기획재정부장관을 상대로 국가재정정보시스템 접속 과정을 설명하고 있다. 김 장관은 심 의원의 비인가 행정정보 무단유출 논란과 관련해 "비인가 영역에 들어가서 불법으로 다운로드 받은 자료는 반납해달라"며 공방을 벌였다. [연합뉴스]

자유한국당 심재철 의원(왼쪽)이 2일 국회 본회의 경제 분야 대정부 질문에서 김동연 부총리 겸 기획재정부장관을 상대로 국가재정정보시스템 접속 과정을 설명하고 있다. 김 장관은 심 의원의 비인가 행정정보 무단유출 논란과 관련해 "비인가 영역에 들어가서 불법으로 다운로드 받은 자료는 반납해달라"며 공방을 벌였다. [연합뉴스]

최 박사는 심 의원이 “백스페이스를 눌렀더니 자료가 떴을 뿐”이라고 주장한 데 대해 자세한 조사가 필요하다고 주장했다. 그는 “한국재정정보원에서 감사원에 제출하는 자료는 더욱 세밀하다”며 “감사원 직원들에게만 제공했던 로직(Logic)이 새어 나갈 수 있다”고 의문을 제기했다. 또 “한국재정정보원 조직 내에 누가 이런 로직을 만들었고, 어떻게 국회의원 보좌관까지 닿게 됐는지 수사가 필요하다”며 “10년 동안 쓰인 시스템인데 일개 보좌관이 우연히 알 확률이 낮다”고 지적했다.
 
심 의원이 확보한 자료를 계속 공개하는 것에 대해서는 “잘못 가져간 자료(청와대 업무추진비 내역 등)는 반납하는 게 옳다”고 주문했다. 그러면서 “심 의원이 검찰 압수수색에 반발해 공개한 자료는 기껏해야 밥값(소소한 정도)”이라며 “100만 건에 달하는 빅데이터가 있어 장기간 분석하면 각 부처 예산 흐름도 파악할 수 있다”고 설명했다. 그는 “국방이나 외교 쪽에 사용된 예산은 민감할 수 있다”며 “나쁜 세력에 이용돼서는 안 된다”고 강조했다.
지난달 28일 자유한국당 김성태 원내대표 등 원내지도부와 의원들이 검찰의 심재철 의원실 압수수색과 관련해 서울 서초구 대법원을 항의방문하고 있다. [연합뉴스]

지난달 28일 자유한국당 김성태 원내대표 등 원내지도부와 의원들이 검찰의 심재철 의원실 압수수색과 관련해 서울 서초구 대법원을 항의방문하고 있다. [연합뉴스]

 
최 박사는 “250억 원 규모의 디브레인 동남아 수출도 앞두고 있는데, 나라가 이것 때문에 시끄러워져 자칫 그동안의 노력이 물거품이 될지 모른다는 불안감을 느낀다”고 우려했다. “미인가 예산 정보가 백스페이스 버튼을 누른 것으로 유출됐다고 알리는 국회의원이나, 자신의 보안관리 부실 책임은 반성하지 않고 유출자만 공격하는 정부나 모두 똑같다”는 비판도 곁들였다.
 
김민상 기자 kim.minsang@joongang.co.kr
최용락 박사가 중앙일보에 보낸 기고문
 뻥 뚫린 디지털예산회계시스템(dBrain)?
 
                                                                최용락 전 디지털예산회계시스템 정책자문
                                                                                   ylchoi8008@gmail.com
 
 
 
연일 “뻥 뚫린 디지털예산회계시스템”이 온 나라를 시끄럽게 하고있다.
 
 2003년도 디지털예산회계시스템 기획단 시절부터 디지털예산회계시스템 구축 과정에 IT정책자문위원으로 데이터베이스 관련 업무에 참여했던 한 사람으로써 작금의 문제와 관련하여 의견을 개진하여 디지털예산회계시스템의 미래 지향적인 방향을 제시하고자 한다.  
 
 우리나라 “재정의 전 과정을 온라인으로 관리하고 재정 사업의 현황을 실시간으로 파악할 수 있는 통합재정관리정보시스템” 이라고 정의되는 디지털예산회계시스템은 노무현정부 시절인 2004년에 재정개혁을 목표로 구축을 기획하여 2007년 1월부터 운영하고 있는 단일국가에서 자체 개발한 재정정보시스템으로는 세계 제1의 재정정보관리시스템이다.
 
 디지털예산회계시스템의 구축 목표는 우리나라 재정관리의 현대적인 재정제도 개혁을 위한 1)예산제도의 개혁, 2)국고관리제도의 개혁, 3)회계결산제도의 개혁 그리고 이를 관리하는 4)통합재정관리정보시스템의 구축을 포함하였으며 여기에 국민/시민 단체의 재정 관련 참여 확산을 위한 5)재정 정보의 투명한 공개를 포함하고 있다.
 
 이러한 정보시스템을 정부에서는 그간 정보 보안과 관련하여서도 완벽한 보안을 위해 많은 노력을 했으며 지금도 최선을 다하고 있는 것으로 알고 있다.
이러한 정보들에 접근하는 최선의 방법은 자신에게 주어진 접근권한으로 정상적인 접근을 통한 허가된 정보를 취득하는 방법이다. 이번에 문제가 제기된 정보의 취득 경로가 불법적인 방법인지, 비정상적인 방법인지를 놓고 많은 갈등을 빚고있다. 이는 사법 당국에서 판단한 문제라고 생각한다. 먼저 정보의 취득 경로가 불법적 또는 비정상적인 것인지를 따지기 이전에 이러한 정보가 유출된 사건에 대해서는 정보를 관리하는 주체인 기획재정부의 보안 및 권한 관리에 문제가 점은 피할 수 없는 사실이다.  
 
 하지만 뻥 뚫린 디지털예산회계시스템이라는 의견에는 공감할 수가 없다. 왜냐하면 이번에 유출된 정보에 접근할 수 있는 권한은 일반 국민은 물론 일반 공무원들도 함부로 접근할 수 없는 정보이기 때문이다. 이번 유출 정보의 문제는 국가의 재정을 전체적으로 통제/관리해야하는 입법 기관의 국회의원이기 때문에 많은 접근 권한을 제공하여 발생한 문제이다.  
 
 해당 프로그램을 정확하게 분석해 보지는 않았지만, 일반적으로 프로그램에 접근을 하는 경우에는 주어진 경로에 따라 접근해야한다. 그런데 백스페이스를 활용하여 권한 밖에 있는 정보에 접근한다는 것은 디지털예산회계시스템에 숨겨진 기능 하나를 발견한 것에 불과하기 때문이다. 기능 한가지를 알아내고 마치 이를 전체 시스템에 문제가 있는 것으로 왜곡하는 것은 잘못된 접근이라고 생각한다.
 
 이는 정보 관리를 잘못한 담당자가 책임을 지고 이러한 문제가 다시는 발생하지 않도록 하면 해결되는 문제이다. 해결 방법은 접근 권한 관리(Authority Management)를 재정립하여 국회의 분과위원회별로 권한을 재부여하여 자신의 정보들 만을 볼 수 있도록 하면 된다. 다른 방법으로는 중요 데이터들의 암호화 방법이다. 암호화된 데이터는 해당 권한을 가진 관련자들만이 볼 수 있도록 하는 방법이다.
 
 또한 주어진 막강한 접근 권한으로 취득한 정보의 유출과 관련된 문제이다. 우리들은 정보의 투명(Transparency)성과 정보 공개를 통한 국민의 알 권리(Authority)에 대한 문제를 제기한다. 정보의 투명한 공개라는 것은 국민에게 똑 같은 정보를 제공하라는 의미로 해석해야 하지만, 모든 정보를 다 보여주라는 의미로 잘못 인식하고 있다. 정보의 투명한 공개라는 것은 국민에게 제공되는 공개 정보가 정보 담당자/사용자/국민 등에게 똑같이 제공해야 한다는 것을 의미하는 것이며 정부의 관련자들이 관리하는 모든 정보를 사용자/국민에게 제공하라는 것을 의미하지는 않는다. 국가 관리를 위해서는 비공개 해야하는 정보도 있기 때문이다. 지금 문제가 되고 있는 공개된 정보들은 법적으로 공개의 대상인지 또는 비공개의 대상인지는 국회 및 정부에서 법리적으로 해결하면 되는 문제라고 생각한다.
 
 이러한 문제에서 더욱 심각하게 고려해야 하는 것은 현재의 정보뿐만 아니라 과거의 정보들과 연계하여 분석을 통해 예측할 수 있다는 점이다. 물론 예측이 긍정적이고 발전적인 방향으로 진행될 수 있다면 좋겠지만, 불순한 목적으로 분석되어 활용한다면 예측 불가능한 문제를 야기할 수도 있기 때문이다.  
지금 공개되고 있는 정보들은 팩트를 제시하는 것으로써 원시(Raw) 데이터일 뿐이다. 이러한 팩트는 그다지 영향이 크지 않다고 생각한다. 원시 데이터에서 제기되는 문제점들은 원시 데이터와 관련 데이터들의 연계를 통해 해소할 수 있다. 현재의 시스템에 있는 정보들만으로 지속적인 의혹을 제기한다면 이는 상호 연관 데이터의 내용을 파악함으로써 해소할 수 있는 문제이다. 예를 들어, 카드 사용의 경우에 단순히 야근식대라고 설명하기 보다는 6하 원칙에 따른 설명을 한다면 더 이상의 의혹 제기는 없을 것으로 판단한다. 해당 전표의 승인번호를 파악하여 카드사의 내용과 비교하고 카드사에 매출 전표를 제출한 식당의 매출 전표를 파악한다면 누가, 언제, 어디서, 무엇을, 어떻게, 왜 사용했는지를 정확하게 파악할 수 있다. 이 경우에 조사한 매출 전표의 매출 항목 결과가 “와인”이라고 파악되었는데, 사용자/국민에게는 “스파게티”라고 한다면 투명한 정보라고 할 수 없는 것이다. 이러한 노력이 해당 의혹에 대한 해결책이 될 것으로 생각한다. 단순히 정직하다는 또는 어쩔 수 없다는 강변 만으로는 의혹을 제기한 당사자들을 설득하기는 힘들고 또다른 의혹을 제기할 수 있다. 물론 이러한 과정에 책임을 져야하는 내용이 있다면 책임을 물으면 되는 문제이다. 하지만 이렇게 의혹이 많은 팩트 데이터들은 그대로 분석하고 가공하게 되면 어떠한 영향을 미칠지 예측하기가 힘들기 때문에 더 이상은 확산되지 않도록 해야하는 것이 급선무이다.
 
 세계에서 가장 철저하게 보안관리를 하는 미국방성, 구글, 페이스북 등도 보안관리에는 완벽함이 없다고 말하고 있다. 우리나라의 디지털예산회계시스템도 마찬가지이다. 최선을 다하여 대응을 하고 더 이상의 문제가 발생하지 않도록 준비하는 것 만이 최선의 방책이다.
 
 우리나라의 통합재정관리정보시스템은 디지털예산회계시스템 외에도 지방재정정보시스템, 교육재정정보시스템, 국방재정정보시스템을 구축/운영하고 있다. 차제에 이러한 재정관리정보시스템도 철저한 권한 관리가 이루이 지도록 노력해야 할 것이다.
 
 이제 정부와 국회는 소모적인 정쟁이 아니라 데이터/정보를 근거로 미래지향적인 정책과 대안 마련이 시급한 시기라고 생각한다.
아울러 우리나라의 디지털예산회계시스템은 해외에 수출을 하기 위하여 지난 10여년간 많은 노력을 경주해 왔으며, 여러나라들에 KSP 사업, KOICA 사업 등을 통해 소개해 왔으며 지금도 수출을 위한 진행이 이루어지고 있는 것으로 알고 있다. 이러한 문제들로 인해 우리의 디지털예산회계시스템의 수출이 차질을 받지 않았으면 한다.
 
 끝으로 기획재정부에서 준비하고 있는 앞으로의 디지털예산회계시스템에는 현재와 같은 정보 수집 위주의 시스템이 아니라, 위험 관리(Risk Management)를 인지한 경고(Alert) 시스템의 반영, 인공지능 기법 등을 도입한 검증 기능의 강화 그리고 인증 체계의 확립을 통한 권한 관리의 최적화 등이 반영되는 정보시스템이 되기를 바란다.  
공유하기
광고 닫기