[세종=뉴스핌] 이경태 기자 = 국가 데이터를 한데 모을 뿐더러 디지털 시대를 앞당긴다는 디지털플랫폼정부 구현에 워크넷 해킹이 흠집을 냈다.

해킹 방식 자체도 수준급이 아닌 상황에서 근본적인 데이터 보안 대안과 재발 방지 대책이 요구된다.

◆ 본조사 준비중인 개인정보위…유사방식 공격받은 장학재단 이달 조사

지난 6일 발생한 고용정보원의 워크넷 해킹으로 23만명에 대한 개인정보가 무단으로 유출됐다. 이 사건은 곧바로 당일 개인정보보호위원회에 접수됐다.

이와 관련 개인정보위는 실질적인 기술적 파악 등을 진행하는 한국인터넷진흥원(KISA)에 사태 파악을 요청했다. 인터넷진흥원 역시 해킹 상황 등 시스템 문제를 본격적으로 살펴볼 예정이다.

개인정보위 관계자는 "어제 해당 사안이 접수가 됐고 현재로서는 사실관계를 확인해야 한다"며 "상황에 맞춰 시급한 경우에 대해 기술 지원, 피해확산 방지 등의 절차가 먼저 진행된다"고 설명했다.

그는 "인터넷진흥원에서 상황 파악을 우선 해야 실제 이번 사안의 문제 등을 파악할 수 있다"고 설명했다.

이번 개인정보 유출 사건은 지난달 말께 발생한 한국장학재단의 개인정보 유출 방식인 '크리덴셜 스터핑'과 유사하다는 얘기도 나온다.

이 방식은 해커가 사전에 확보한 이용자 정보를 다른 계정에 무작위로 대입해 사용자의 계정을 탈취하는 방식이다. 해당 사이트를 공격하는 해킹 방식과는 다르다.

인터넷진흥원 관계자는 "지난달 25~26일 발생한 한국장학재단의 개인정보유출과 관련 개인정보위와 연계한 조사단이 배정된 상태"라며 "이달 중 현장 조사를 착수할 계획이 잡혔다"고 말했다.

그는 "이번 사안들에 대해 현재까지는 조사가 이뤄지지 않았기 때문에 크리덴셜 스터핑으로 확정할 수 없다"며 "기술적인 측면에서 로그 분석, 서버 확인 등의 과정을 거친 뒤 문제 원인이나 위반 사항 등이 있는지 등을 파악할 수 있을 것"이라고 덧붙였다.

다만 최근들어 복수의 기업에서는 '크리덴셜 스터핑'과 유사한 방식으로 해킹 공격을 받은 것으로 알려지는 상황이다.

◆ 신규 해킹 방식 아니어서 대책마련 '속수무책'

'크리덴셜 스터핑'은 새로운 유형의 해킹 방식은 아니다. 미리 확보한 아이디와 패스워드만 있으면 이를 임의로 기입해서 로그인이 되면 또다른 정보를 빼오는 개념이다. 

이렇다보니 관계당국 역시 기술 개발 차원으로 접근하기는 쉽지 않은 것으로 전한다.

더구나 윤석열 정부 들어 국가의 데이터를 모아 보다 효율적으로 대국민 서비스를 하겠다는 '디지털플랫폼정부' 추진에도 걸림돌이 될 수 있다는 지적도 나온다. 

한 IT업계 관계자는 "정부가 데이터를 모아 국민에게 편의를 제공한다고 하지만 실제 그런 서비스에서 문제가 대규모로 생기니 어떻게 국가 서비스를 신뢰할 수 있겠나"라며 "새로운 방식의 해킹 방법도 아닌, 수준 낮은 방식에서도 개인정보를 보호하지 못한다는 사실이 개탄스럽다"고 전했다.

디지털플랫폼정부위원회 한 관계자는 "정부는 사실상 지금까지 없었던 새로운 유형에 대한 보안 방안 등에 힘을 쏟고 있다"며 "현재 운영되고 있는 서비스에 대해 일률적으로 보안 부분을 말하기는 쉽지 않다"고 말했다.

그는 이어 "기술 진화에 따라 위협은 늘어날 것이고 공급망 보안으로 확대될 것"이라며 "이와 관련 제로 트러스트 등의 정책 등을 추진하고 클라우드 전환 시스템에서 다양한 유형에 대해 대응체계를 담아내고 있다"고 전했다.

IT 보안정책의 핵심부처인 과학기술정보통신부 역시 워크넷 해킹과 관련해 여러 요소를 살펴보고 있는 상황이다. 다만 당장 해킹 유형에 대한 확정적인 조사 결과가 나오지 않은 만큼 말을 아끼는 분위기다.

사실상 지난 6일에는 과기부 등 범정부의 1년간 디지털 전략 추진의 성과를 재평가하는 날이었는데, 이번 사건이 정부의 디지털 전환에도 찬물을 끼얹었다는 평가도 나온다.

정창림 과기부 정보보호네트워크정책관은 "보안과 관련해서는 기본을 다해야 하는 부분"이라며 "해당 사안에 대해서는 인터넷진흥원 등 기관과 협력할 예정"이라고 말했다.

biggerthanseoul@newspim.com