심재철 자유한국당 의원의 비인가 재정정보 열람 경로가 프로그램 개발자나 관리자가 시스템에 접근하기 위해 고의적으로 만들어놓은 ‘백도어(back door)’라는 주장이 제기됐다. 만약 민간 개발자가 만든 백도어라면 민간업체가 국가정보를 공유했을 가능성이 있어 논란이 예상된다.

심상정 정의당 의원(국회 기획재정위원회)이 16일 한국재정정보원에 확인한 결과 감사관실용 경로가 아닌 ‘관리자 모드’가 뚫린 것으로 드러났다.

백도어란, 컴퓨터 시스템과 암호시스템 등에서 정상적인 인증 절차를 우회하는 방법으로 개발자나 관리자가 시스템에 손쉽게 접근하기 위해 고의적으로 만들어놓은 비공개 원격 관리 및 접속 기능을 뜻한다. 허가받지 않고 시스템에 접속하는 권리를 얻기 때문에 대부분 은밀하게 작동하고 보안절차를 거치지 않고 시스템에 접속할 수 있기 때문에 해커들에게 악용되기도 한다.

국회·감사관 등이 필요한 정보를 열람할 수 있도록 하는 올랩(재정정보시스템)은 국회의원과 감사관의 자료접근 권한을 구분해두고 있다. 국회의원은 모든 기관의 간단한 통계정보만 접근가능하고, 감사관실은 지정된 감사담당기관에 대해서만 세부내역 정보에 접근할수 있다.

심상정 의원은 심재철 의원이 재정정보를 열람한 경로가 해킹 또는 백도어 가능성이 있다고 보고 있다.

이번 자료유출은 국회 의원실 ID로 적법하게 로그인해 ‘시스템 오류를 유발하는 조작’을 통해 모든 피감기관에 대한 세부내역 정보에 접근 가능해지면서 발생했다. 이는 국회의원 권한도, 감사관실 권한도 아니라는 점에서 제3의 권한이라는 것이 심상정 의원의 주장이다.

심상정 의원은 “‘관리자 모드에서 보이는 최종 정보화면’에 접근한 것을 한국재정정보원에 확인했다”며 “어떤 경로인지는 모르나 ‘관리자만 접근 가능한 자료’에 접근해 유출했다는 점에서 더 심각한 문제이고 그 경로의 정체가 무엇인지는 검찰이 철저히 밝혀야 할 문제”라고 지적했다.

더 큰 문제는 심재철 의원의 재정정보 열람 경로가 백도어라면 개발업체인 삼성SDS 컨소시엄(삼성SDS, 하나INS, 현대정보기술, 아토정보기술)이 2007년부터 국가정보를 장기간 대량으로 공유해왔을 수 있다는 것이다. 백도어가 존재한다면 재정정보원 밖의 구축업체 개발자, 관리자 등까지 공모 가능성도 있다.

이번에 정보가 유출된 올랩 시스템은 기획재정부가 2007년부터 민간업체인 삼성SDS 컨소시엄에 위탁해 구축하고 운영해오다가 2016년 한국재정정보원이 인수해 운영해왔다.

올랩 시스템 구축 이후 운영업체는 삼성SDS 컨소시엄, 엘지CNS, IT메이트, 요다정보기술, 성민정보기술, KTNET 컨소시엄 등이다.

심상정 의원은 이날 오전 KBS 라디오 ‘정준희의 최강시사’와 인터뷰에서 “만약 개발자에 의한 백도어가 있었다면 2007년부터 시작해서 정부의 총체적인 재정 기밀자료가 다 공유됐을 가능성이 있다”며 “관리자에 의한 백도어는 범죄적 목적을 가지고 한 것이기 때문에 해킹도 문제지만 백도어일 경우에는 더 큰 문제가 될 수 있다”고 설명했다.

관리자 모드 해킹 혹은 백도어 존재 가능성 모두 한국재정정보원의 보완관리 소홀의 책임이 제기될 것으로 전망이다. 검찰 수사를 비롯해 전체 행정부의 모든 전산시스템에 대한 백도어 전수조사 필요성이 제기된다.

심상정 의원은 “해킹 또는 백도어를 공모한 과정에서 심재철 의원실에서 재정정보에 접근한 것에 대한 조사는 별도로 있어야 한다. 해킹이든 백도어든 그게 뭐든 간에 재정정보원의 기밀이 다 뚫렸다는 것은 심각한 책임을 물어야 한다”고 말했다.