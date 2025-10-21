국정자원 화재와 복구 축소 해명

해킹 피해도 외신 보도 이후 인정

정보보호는 비용 아닌 전략 투자

디지털 정부, 신뢰 방화벽 세워야

최근 국가 전산망을 둘러싼 일련의 사태를 지켜보노라면 정부가 이솝우화의 ‘양치기 소년’이 된 것 같아 마음 한편이 씁쓸하다. 국가정보자원관리원 대전 본원 화재 요인인 배터리 이전 작업 전 미리 전원을 차단하는 등 규정대로 했다는 당국 설명은 거짓으로 드러났다. 대전 본원에 저장 중인 데이터를 실시간으로 광주와 대구센터에 백업해 유실된 자료는 없다는 주장도 사실과 달랐다. 압권은 2022년 10월 카카오 ‘먹통’ 사태 때 ‘3시간 이내 정상 가동될 것’이라는 정부 업무시스템이 한 달 가까이 복구 중이라는 것이다. 화재로 영향을 받은 709개 시스템의 복구율은 21일 현재 60%가 채 안 된다. 연내 정상 가동도 불투명한 상황이다.



거짓말은 사안 축소로, 침묵은 은폐 시도로 해석되기 마련이다. 정부가 지난주에서야 공식 인정한 온나라시스템(모든 부처 문서 작성·검토·결재 담당 통합 프로그램) 해킹 피해는 대정부 불신을 키운다. 정부는 ‘KIM’이라는 국적 불명 해커가 2022년 9월쯤 일부 공무원 개인PC를 통해 행정전자서명(GPKI) 인증서와 비밀번호, 소스코드를 해킹해 온나라시스템을 약 2800회 들락거리고 난 뒤인 올해 7월 이를 인지해 전화인증(ARS) 강화 등의 조치를 취했다고 했다. 해외 전문지 프랙매거진이 올 8월 관련 의혹을 제기했을 때 사실 여부조차 확인해주지 않은 정부였다.

송민섭 사회2부장

경제협력개발기구(OECD)가 2019년과 2023년 2회 연속 세계 1위의 디지털정부로 평가한 한국의 이 같은 굴욕은 무엇 때문일까. 개인적으로는 공공망 보안에 대한 정부의 무지(無知)와 무능(無能), 무책임(無責任)이라는 ‘3무’에서 원인을 찾을 수 있지 않을까 싶다. 공공부문 정보자원이 국가 안보의 근간을 흔들 수 있다는 중대 사안이라는 의식은 부족해 보이고, 해킹 공격 등을 효과적으로 탐지·복구·무력화하는 전문 역량은 떨어지며, 행정망에 중대 보안사고가 일어나도 그 어떤 부처·보직자도 “내 탓”이라고 손들지 않는다.



과한가. 북한과 중국 등 적대국들의 해킹 공격이 챗GPT 등을 활용해 고도화하고 빈번해지는 상황에서 공직사회에 국가정보자원 보호·활용은 “비용이 아닌 전략적 투자이자 정부의 기본 책무”라는 인식이 확고했더라면 관련 예산과 인력 배분에 그리 소홀하진 않았을 게다. 가뜩이나 안정적인 전산망 유지·보수 관리보다는 새로운 시설 구축, 서비스 개설에 쏠려 있는 예산은 시설 분야마저 점차 주는 추세다. 공공망 관리 주무부처인 행정안전부의 올해 정보보호 인프라 확충 사업 예산은 199억여원인데, 지난해(약 361억원)보다 약 45% 줄었다.



관리 인력도 전문성과는 거리가 멀다. 부처·기관 내에서 ‘한직’으로 통하는 정보보호 담당은 연평균 4시간 이하의 형식적인 연수만 받는다. 이마저도 2, 3년 후 보직이 바뀐다. 해킹 공격 또는 작업 실수, 화재 같은 유사시 정부 대응력이 떨어지는 이유다. 자체 전문인력이 거의 전무한 탓에 주로 외주업체에 맡기는데 주로 중소업체들이 참여한다. 법으로 정부 발주사업의 경우 대기업 참여를 제한해서다. 맹점은 이들 중소업체 직원이 대기업보다 고용안정성이 떨어져 이직률이 높고 해당 업무 이해도가 떨어진다는 것이다. 구축·보수·관리 등 시스템 전반을 꿰뚫고 있어야 하는데 일부 작업에만 참여하는 경우가 많아 원인 파악이나 복구 등이 지체될 수밖에 없다.



더 큰 문제는 국가 정보보안을 위한 정부 내 컨트롤타워가 없다는 점이다. 국가정보원은 해킹 피해 탐지를, 행안부는 공공망 운영·관리를, 개인정보보호위원회는 사후 규제를 맡는다. 모두의 책임은 어느 누구의 책임도 아닌 법. 이재명 대통령이 “같은 장애가 재발하지 않도록 전반적 점검과 근본적 대책을 만들라”고 지시해도 재발 방지, 사전 예방을 위한 구조적 대책보다는 조속한 이중화 시스템 구축 등 해묵은 대책과 생체기반 복합 인증 수단 도입 등 땜질식 처방, 사각지대 모니터링을 위한 탐지체계 고도화 등 원론적 입장만 난무한다. 이재명정부가 조만간 발표한다는 ‘범정부 정보보호 종합대책’은 편의와 성과, 속도를 위해 개인정보와 보안의식, 국가 안보를 희생양으로 삼는 우를 범하지 않길 바란다.