[2025 국감] 20만원짜리 USB로 국회도 해킹 가능…조인철 의원 “국가 보안체계 허점 심각”
국회 과학기술정보방송통신위원회(위원장 최민희) 국정감사에서 국가 정보보호 체계가 실제 공격 환경을 반영하지 못하고 있다는 우려가 나왔다. 13일 정부세종청사에서 열린 과학기술정보통신부(장관 배경훈) 국정감사에서 조인철 더불어민주당 의원은 “20만원짜리 USB로도 국회나 정부기관을 해킹할 수 있다”며 “정부부터 민간 기업까지 보안이 무너진 상태”라고 지적했다.
조 의원은 올해 SK텔레콤, KT, 롯데카드 등 주요 통신·금융사의 해킹 피해가 잇따른 점을 언급하며 “국민이 그 피해를 고스란히 떠안고 있다”고 비판했다. 한국인터넷진흥원(KISA) 통계에 따르면, 국내 해킹사고 신고 건수는 2020년 603건에서 2024년 말 기준 1800건 이상으로 약 3배 증가했다. 조 의원은 “과기정통부 산하기관에 대한 해킹 시도 또한 두 배 이상 늘었다”며 “국가 네트워크 전반이 사실상 무방비 상태”라고 강조했다.
이어 조 의원은 국감 현장에서 직접 ‘해킹 시연’을 진행했다. 그는 “미국 온라인 쇼핑몰에서 20만원도 안 되는 USB 케이블을 구입했는데, 내부에 스파이칩이 장착돼 있었다”며 “이 장비를 국회나 과기부 청사에 반입해도 아무 제재가 없었다. 이런 케이블이 과기부 직원의 컴퓨터에 꽂힌다면 어떤 일이 벌어질지 상상해보라”고 말했다. 실제로 조 의원은 국회 공동망의 화면을 공유하며 “해킹이 너무나 간단하다”고 설명했다.
이어 그는 “이런 장비들은 정식 통관 절차를 거쳐 아무런 제제 없이 국내로 들어오고 있고, 정부나 기업 어디에서도 이를 탐지하는 장치가 없다”며 “이스라엘이 헤즈볼라 조직을 공격할 때 사용한 원리가 바로 이런 원격 통신칩이었다. 이런 수준의 위협이 한국에서도 언제든 발생할 수 있다”고 경고했다.
아울러 조 의원은 국내의 정보보호관리체계(ISMS) 제도의 허점을 지적했다. 그는 “과기정통부 산하 기관과 민간기업이 받는 ISMS 인증 항목을 모두 검토했지만, 스파이칩 같은 물리적 보안 위협을 대비한 항목은 하나도 없었다”며 “과기정통부 내부 시스템에도 이를 탐지할 수단이 없고, 민간기업 역시 전무하다”고 지적했다. 이에 류제명 과기정통부 제2차관은 “현재 ISMS 인증 항목 80개 중 해당 항목이 있는지는 확인해봐야 하나, 명확히 반영된 부분은 없는 것으로 알고 있다”고 답했다.
이에 대해 배경훈 과기정통부 장관은 “지적대로 새로운 유형의 공격 수단에 대한 대비책을 강화하겠다”며 “ISMS 인증 항목 전반을 재점검하고, 물리·기술·관리 영역을 통합한 보안체계 개선 방안을 마련하겠다”고 말했다.
한편, 조 의원은 지난 8월 공개된 프랙(Phrack) 보고서에 대해서도 언급했다. 그는 ”(프랙 보고서가) 한국 정부 시스템은 대부분 뚫려 있다고 평가하고 있다”며 “정부와 기업이 보안체계를 완전히 다시 점검해야 한다”고 목소리를 높였다. 중국 배후로 추정되는 해커의 내부 활동 자료를 분석한 프랙 보고서는 행정안전부의 온나라시스템 등 국내 정부기관과 통신3사 등 주요 민간기업에서 다수의 정보 유출 정황이 발견됐다고 분석한 바 있다. 현재 국가정보원은 프랙 보고서에서 나온 행정안전부의 온나라시스템 침해 정황에 대한 정밀 조사를 진행 중이다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network