tbs

tbs소개
견학신청
검색 검색
  • 김승주 교수 "심재철 의원실 자료 유출 '해킹'에 가깝다고 한 이유는?"
  • 지혜롬 기자 tbs3@naver.com ㅣ 기사입력 2018-10-04 11:28
  • 좋아요  
    facebook twitter 인쇄하기
심재철 의원실의 기획재정부 디브레인 시스텝 접속 시연 장면 <사진=연합뉴스>
*내용 인용시 tbs[김어준의 뉴스공장]과의 인터뷰 내용임을 밝혀주시기 바랍니다.



◎ 2부

[인터뷰 제2공장]

심재철 의원실 자료 유출 '해킹'에 가깝다고 한 이유는?

-김승주 교수(고려대 정보보호대학원)



김어준 : 심재철 의원이 제기했던 업무추진비 문제. 이 문제가 정치적 공방에 있습니다만 그 이전에 지금 자료 확보의 합법성. 자료취득의 절차적 문제. 이 문제에 대해서는 사실 그다지 다뤄지지 않아서 저희가 철저하게 보안전문가의 눈에서 이 사안을 한번 짚어보겠습니다. 고려대학교 정보보호대학원의 김승주 교수님 나오셨습니다. 안녕하십니까.



김승주 : 네, 안녕하십니까.



김어준 : 앞의 시간이 좀 길어져서. 이거 제대로 다뤄야 하는데. 그냥 이 사건 자체는 많이 알려져 있으니까 바로 본론으로 들어가겠습니다. 심재철 의원이 백스페이스 2번 눌렀더니 미인가 정보가 나왔다. 본인은 정상적인 ID로 접속했고 그리고 우연히 백스페이스를 2번 눌러서 그 정보가 떴기 때문에 해킹이 아니다라고 하지 않습니까? 정보통신보안의 관점에서 보자면 이거 해킹 아닙니까?



김승주 : 일단 결론부터 얘기하면.



김어준 : 결론으로 바로 가시죠.



김승주 : 해킹이라고 볼 수 있고요. 왜 그러냐 하면 고의성이 있느냐 없느냐, 해킹툴을 썼느냐 안 썼느냐. 이게 주요 시설이냐, 아니냐는 전혀 상관이 없습니다. 그냥 우리 정보통신망법 48조에 따르면 누구든지 정당한 접근권한 없이 허용된 권한을 넘어서 망에 접속하면 그거 자체를 해킹이라고 보고 있습니다.



김어준 : 그러니까 정보통신 관점에서 당연히 해킹인 거고. 두 번째 제가 질문드릴 내용은 사실은 자료를 이렇게 가져가지 않고 포토스켄이라고 하죠. 뭐랄까 시스템 구멍이 있나 없나 찾아보는 것만으로도 처벌되지 않습니까?



김승주 : 그렇죠, 그러니까 사실은 제가 처음에 이 관련한 내용을 블로그에 썼던 것은 이것이 공익이든 아니든 간에 국회의원이라고 그래서 해커랑 다른 처벌을 받으면 곤란하다. 이게 제 요지였거든요. 보통 해커들은 뭐라 얘기하냐 하면 길을 가다가 대문이 있는데 그 대문이 잘 잠겼는지 흔들어만 봐도 처벌받는다 이렇게 얘기합니다.



김어준 : 이게 포토스켄이라고.



김승주 : 맞습니다. 문이 열린 걸 들어가서 물건을 가져가면 당연히 처벌받고요. 그냥 문짝 자체를 흔들어보는 행위도 처벌을 받습니다.



김어준 : 문이 약간 허술한 것이 있나 둘러만 봐도 처벌받잖아요.



김승주 : 그래서 그게 굉장히 강력한 어떤 법안이기 때문에 일종의 교수들이나 해커들은 연구목적에서, 어떤 공익을 위해서 하는 것은 좀 봐줘야 되지 않느냐 이게 너무 가혹하지 않느냐라고 계속 얘기하고 있고요.



김어준 : 거기까지는 명백하고요. 정보통신 관점에서는 해킹이다. 그런데 이제 여기에부터 좀 전문 영역인데 백스페이스를 두 번 눌렀더니 정상자료가 나왔고 정상자료인 줄 알고 받았다. 저는 여기에서 이런 화면이 우연히 나온다는 게 일단 있을 수 없는 일이잖아요. 백스페이스 2번 누른 것이 이상하기도 합니다. 인터넷 브라우저를 하다가 백스페이스를 2번 누르는 경우가 있냐. 아무리 기억에 떠올려 봐도 잘 없는데. 그런데 백스페이스 2번 눌렀더니 나왔다고 해요, 우연히. 그런데 백스페이스를 2번 눌러서 어떤 전혀 다른 페이지로 흔히 이제 리다이렉트라고 하죠. 가지 말아야 할 곳으로 가버린 거잖아요. 권한이 없는 곳으로. 이거 우선 우연이라고 할 수 없는 일 아닙니까? 뭔가 시스템에 흔히 말하는 뒷구멍, 백도어라든가 아니면 일시적으로 만들어둔 시스템 오류든가 그런 것 아닙니까?



김승주 : 일단은 아주 작은 확률이라도 우연이라는 건 있을 수 있으니까요. 그리고 해커들이 취약점을 찾는데 우연히 발견하게 되는 경우도 있거든요. 그런데 이제 여기에서 우리가 주목해야 할 건 심재철 의원실에서 과거 5년간 20번 접속했단 말이죠. 그런데 올 7월부터는 140회 접속을 했고 그중에 비정상 접속이 70회였고 그다음에 자료 다운로드받은 건 100만 건이거든요. 이거는 뭐냐하면 이게 닫히기 전에 자료를 확보해야겠다 하는 어느 정도 마음이 있었기 때문에 이런 행동을 하는 거라고 봐야하거든요.



김어준 : 불법성을 인지했다라고.



김승주 : 그렇죠, 어느 정도 비정상적인 상황이라는 건 인지했다라고 봐야 될 것 같습니다.



김어준 : 그건 그런데 제 말은 시스템상의 오류가 그야말로 우연히 있었다고 치더라도 그걸 해커가 막 찾다가 찾아낸 게 아니라 정상적인 로그인을 하다가 우연히 찾아낸 게 좀 납득이 안 가거든요, 이게. 저는 어떤 의문이 있냐 하면 시스템을 잘 아는 누군가가 정확하게 경로와 방식을 알려주지 않는 한 이게 우연히 발견될 확률이 있는가.



김승주 : 사실 그닥 그렇게 일반적이지는 않죠.



김어준 : 그리고 매우 특이한 거 아닙니까?



김승주 : 그리고 실제 우리가 이렇게 국감할 때나 이렇게 보면 외부에서 많은 해커들이 의원실에 어떤 취약점 제보 같은 것을 하기는 합니다. 그래서 알 수도 있고요.



김어준 : 누군가가 알려줬을 수도 있고.



김승주 : 그럴 수도 있죠. 워낙 접촉할 수 있는 사람들이 워낙 많으니까.



김어준 : 거꾸로 누구한테 알려달라고 한 거 아닙니까, 이거?



김승주 : 그건 제가 모르겠습니다.



김어준 : 교수님이 답하실 내용은 아닌데 제가 왜 그런 생각을 했냐 하면 재정부에서는 계속 5단계 이상 이런 얘기하지 않습니까? 우연히 알 수가 없다. 그러니까 지금 잘못 알려진 혹은 잘못 오해하는 것 중 하나가 백스페이스 2번 나왔더니 모든 자료가 다 나왔다고 생각하는데 그 설명을 좀 자세히 들어보면 첫 번째 화면이 나오고 거기에서 폴더가 촥 나왔겠죠. 그 폴더를 선택해서 들어가서 또 다른 폴더들이 나왔겠죠. 그리고 또 선택해서 또 다른 폴더가 나오고 5번을 거쳐서 목적하는 파일들이 있는 곳에 간다는 건데 모르는 시스템에 복잡한 폴더 구조 중에 내가 원하는 파일이 어디 있는지 찾는다는 것은 처음부터 알지 않고서는 불가능한 거 아닙니까? 남의 집에 컴퓨터 들어가서 내가 원하는 파일을 남의 집에... 구조가 다 다른데. 찾는 게 불가능하듯이. 어마어마하게 방대한 40개 이상의 기관이 연결돼 있는 망 속에서 우연히 백스페이스 쳐서 초기 화면 들어왔다고 쳐요. 그 5단계 이상의 복잡한 폴더 구조 속에 파일을 찾아낸다? 이게 저는 우연이라고 절대 안 보인다는 거죠. 그렇게 생각 안 하십니까? 전문가로서?



김승주 : 전문가더라도 사실은 이게 백도어였는지. 의도적으로 심은 백도어였는지 아니면 오류로 그게 존재하는지는 딱히 구별할 방법은.



김어준 : 접속 그 순간에는 알 수 없죠?



김승주 : 네, 그리고 지금 한 것이 물론 좀 특이하기는 하죠. 왜냐하면 검색 기간을 넣었는데 그 사이에 해당하는 자료가 없습니다라는 창이 뜨고 그 상태에서 백스페이스를 2번 눌러야 해당자료, 권한 없는 자료들이 뜨는 상태거든요. 사실은 그것도 그전에 과거 5년간은 발견 못 했던 것이었고 그런 것들을 보면 굉장히 특이한 상황인 것 같습니다.



김어준 : 그리고 그거보다 더 특이한 것은 저는 그 단계에서 모든 자료가 다 나온 줄 알았더니 그게 아니라 다섯 깊이의, 다섯 단계의 폴더 하에 들어있다는 거잖아요. 이게 어떻게 우연히 알 수가 있습니까? 남의 집에 가서 컴퓨터 켜서 그 집의 그 자료 가져와 봐. 못 찾아요.



김승주 : 그래서 지금 7월부터 접속한 것으로 돼 있으니까 제가 보기에는 아마 그 어떤 오류를 통해서 시스템에 접근한 다음에 여러 가지 자료 찾는 시도들을 했던 것 같고요. 그 부분에 있어서도 보통 해커들도 우연하게 그런 걸 찾을 수 있습니다. 그러면 사실 즉각적으로 그 업체에 알려주거든요. 그리고 그걸 수정하게 돼 있고. 만약에 그럴 경우에 그렇게 큰 처벌을 받지 않게 돼 있는데 그것을 가지고 자료를 다운로드한다든가 어떤 기타 등등의 행위를 했을 때는 우리나라 법상 처벌받도록 돼 있고요. 또 많은 분들이 이게 정당한 권한이 있느냐, 없느냐만 가지고 얘기하시는데 우리나라 정보통신망법 3항에 따르면 그냥 단순한 해킹 정도가 아니고 안정적인 서비스를 방해하는 행위 자체도 처벌받도록 돼 있습니다. 그러니까 사실은 자료를 공개함으로써 허가가 없는 사람들이 막 보게 되고. 이런 데 오류가 있었구나 하고 많은 사람들이 인지하게 되지 않습니까? 사실은 그런 것들도 48조 3항에 따르면 문제가 있다고 봐야 될 것 같습니다.



김어준 : 알겠습니다. 알겠는데 이게 공범자의 가능성, 존재 가능성은. 이거는 개인적인 견해로 여쭤보는 겁니다. 저는 이 사안을 쭉 보면서 누가 도와주지 않고서는 가능할 것 같지 않다는. 제가 교수님만큼은 IT는 몰라도 이 업계에 오래 있었지 않습니까. 20년 이상. 제가 가진 상식으로는 공범자가 있지 않고서야 이게 어떻게 되나. 그렇게 생각해 보신 적은 없으세요? 개인적인 의견입니다.



김승주 : 그럴 수 있죠. 저도 이게 우연일까 아니면 누가 도와줬을까라는 생각을 합니다. 그런데 사실은 그걸 알려면 지금 정부 쪽에는 로그기록들이 꽤 확보가 돼 있을 것입니다. 그러면 이게 어떤 루트를 통해서 이 경로를 가게 됐는지. 예를 들어서 진짜로 한 번에 이렇게 접근을 한 건지. 그전에 이런 어떤 오류를 알기 위해서 여러 어떤 부분적인 시도가 있었는지를 아마 이렇게 조사할 수 있을 것 같거든요. 그래서 아마 그 기록을 봐야 할 것 같습니다.



김어준 : 굉장히 조심스러우시군요. 법을 어긴 건 명백한데 이것이 아주 낮은 확률로도 우연일 수 있으니 조사 결과를 보기는 보자. 진짜 속내는 방송 끝내고 여쭤보겠습니다. 정보통신법상으로는 명백히 불법이다. 김승주 교수님이었습니다. 감사합니다.



김승주 : 네, 고맙습니다.

심재철 의원실의 기획재정부 디브레인 시스텝 접속 시연 장면 <사진=연합뉴스>

기사제보 및 보도자료 제공 tbs3@naver.com / copyright© tbs. 무단전재 & 재배포 금지

인쇄하기