국정원 보도자료 때문에 억울한(?) 한국인터넷진흥원
한국인터넷진흥원(KISA)이 때아닌 정치적 논란에 휩싸였다. 서울 강서구청장 보궐 선거를 하루 앞둔 지난 10일, 국가정보원은 선거관리위원회의 투.개표 시스템에 보안취약점이 있다는 보도자료를 배포했는데, KISA가 이 자료의 공동명의자로 되어 있었기 때문이다.
KISA의 업무는 민간기업의 보안을 점검하는 것이어서, 선관위 보안 취약점을 KISA 나서서 지적하는 것은 월권이라고 볼 수 있다.
국정원은 보도자료에서 선관위의 사이버 보안관리 부실을 확인했다고 밝혔다. 북한 등 외부 세력이 언제든 침투할 수 있는 해킹 취약점이 다수 발견됐다는 게 골자다.
쟁점이 된 것은 보도자료에 주체로 KISA의 이름이 올라갔다는 점이다. 국정원이 배포한 자료 머리에 KISA 로고가 들어가 있고, 부제에도 KISA가 점검의 핵심 주체인 것처럼 표현됐다.
야당인 더불어민주당은 국정원이 선거 전날 투.개표 시스템 해킹 우려 보도자료를 배포한 것에 정치적 의도가 있다고 주장하고 있다. 선거 패배를 예상하고 선거결과를 인정하지 않으려는 시도 아니냐는 것이다. 16일 국회 과학기술정보방송통신위원회 국정감사에서 KISA가 정치권의 공격을 받게 된 이유다.
KISA는 국정원 요청에 따라 7월 17일부터 9월22일까지 진행된 점검에 3명의 지원 인력을 파견했다고 설명했다. 단순 인력 지원이었다는 것이다. 하지만 국정원의 보도자료만 보면 KISA가 마치 조사의 중추적 역할을 한 것으로 비친다. 단순히 기술 지원 차원의 지원만 했을 뿐, KISA가 현재 선거 시스템에 문제가 있다고 단언한 것은 아니라는 게 KISA의 입장이다.
이원태 KISA 원장은 국감에서 “보안 취약점이 발견되고 해킹(당할) 가능성은 있다고는 생각하지만 선거 관리 전반까지 판단하는 것은 현실적으로 어렵다”고 말했다.
그러나 야당 의원들은 KISA에 정치적 의도가 있던 것이 아니냐는 의혹을 보내고 있다. 민형배 더불어민주당 의원은 “왜 우리 명의를 쓴다고 이의 제기를 하지 않았나, 그럼 저 것(점검 결과) 인정하는 것이냐”고 질의했다.
이 원장은 “인력 3명 (지원) 요청만 받았고 인력 제공 이상으로 (국정원과 보도자료 내용과 관련해) 충분한 협의가 되지는 않았다”며 “KISA가 어떤 과정을 (국정원, 선관위와) 협의할 수 있는 대등한 기관이 아니다”라고 토로했다.
선관위 시스템의 보안 취약점이 확인됐고, 해킹의 위험성은 있는 것으로 밝혀졌지만 이 같은 점검 결과가 선거 부정으로까지 이어질 수 있다는 걸 KISA가 보증한 것은 아니라는 뜻이다.
보도자료 내용과 관련한 사전 협의가 있었냐는 장경태 더불어민주당 의원의 질의에도 이 원장은 재차 “없었다”고 밝혔다.
국정원의 보도자료에 적극적으로 대응하지 않았다는 이유로 ‘직무 유기’ ‘소극 행정’이라는 지적까지 받았다. 고민정 더불어민주당 의원은 보도자료에서 명의를 뺄 것이냐는 질문에 이 원장이 확답을 피하자 “직무유기에 대한 대가를 치르셔야 될 것 같다”고 말했다.
KISA 홈페이지에 따르면, KISA의 사업 목표는 ‘정보통신망의 고도화와 안전한 이용촉진 및 정보보호·디지털과 관련한 대국민 지원’이다. 특히 KISA의 핵심 역할은 국가기관이 아닌 기업 등 민간의 사이버 취약점 보안과 문제 해결을 지원하는 업무다.
국정원의 요청에 소규모 인력 지원을 했다가 갑자기 정치적 이슈의 중심에 선 셈이다. KISA 내부에서도 의도치 않게 정치적 이슈에 휘말린 이번 국감에 대한 당혹감이 큰 것으로 전해진다.
이 원장은 의원들의 질타가 이어지자 “보도자료에 사전 협의가 안 된 점은 문제 제기를 하고, 또 입장 표명을 하려고 생각하고 있다”고 말했다. 단 아직 국감이 진행 중인 만큼 정확한 시기나 내용, 방식은 논의가 필요하다는 게 KISA 관계자의 전언이다.
한편 이날 국감에서는 CSAP 등급제 시행도 화두가 됐다. 앞서 과학기술정보통신부는 지난 1월 CSAP 고시 개정안을 발표한 뒤 시행에 들어갔다. ‘논리적 망분리’를 허용하는 하 등급을 제외하고 상·중 등급은 실증과 검증을 통해 구체적인 기준을 만들기로 했었다.
하지만 당시에도 기준 없이 급히 시행에 들어갔다는 지적이 끊이지 않았었다. 실증을 담당하는 한국지능정보사회진흥원(NIA)이 아직도 눈에 띄는 방안을 만들지 못했다는 게 박완주 무소속 의원의 지적이다. 박 의원은 “아직도 기준 없이 임의 규정으로 진행하고 있다”고 말했다.
현재 상·중 등급의 경우 국정원이 만든 국가정보보안 기본지침에 따라 기업들이 등급을 자체 분류하고 있다. 박 의원은 “얼마나 급하게 시행했으면 시험문제 낸 사람(국정원)이 채점도 하는 상황”이라고 덧붙였다.
NIA가 진행하는 실증과 그 결과를 반영해 KISA가 만드는 기준의 최종 검증은 국정원이 맡는다. 하지만 이러한 절차 속에서 결국 국정원의 지침이 가이드라인 역할을 하는 것을 꼬집은 셈이다.
박 의원은 또 기준을 만드는 KISA 또한 3억원의 관련 예산을 받았지만 활동 내역은 대면 회의 4차례, 비대면 회의 7차례에 그쳐 예산이 낭비되고 있다고 꼬집었다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network