공공시스템 보안 ‘구멍이 숭숭’ 해커의 공격에 속수무책

<공공정보 누수 위험 - AI 제작 그림>

디지털타임즈 기사(https://www.dt.co.kr/article/12043086)와 관련된 내용을 정리한 것입니다.

1. 현황 : 7전 7패, 예고된 참사

감사원이 화이트 해커 11명을 투입해 개인정보 보유량이 많은 7개 핵심 공공시스템을 모의해킹한 결과, 7곳 모두 뚫렸습니다.

충격적인 것은 뚫린 방식이 최첨단 기법이 아니라 매우 기초적인 취약점이었다는 점입니다.

• 무제한 조회 : 특정 시스템은 조회 횟수 제한이나 이상 징후 탐지(Anomaly Detection)가 없어, 자동화 도구로 5,000만 명(사실상 전 국민)의 정보를 긁어갈 수 있었습니다.
• 암호화 미적용 : 로그인 정보가 평문으로 전송되어, 중간자 공격(Man-in-the-Middle) 시 관리자 권한탈취가 가능했습니다.

2. 원인 : 95.5%를 방치한 '헛발질' 정책

이 기사에서 가장 주목해야 할 기술적/정책적 원인은 다음과 같습니다.

• 위협 인텔리전스의 부재 : 통계적으로 개인정보 유출의 95.5%는 외부 해킹에서 발생합니다. 그러나 주무 부처인 개인정보보호위원회는 0.1%에 불과한 '내부 유출' 통제(송파 세 모녀 사건 등)에만 행정력을 집중했습니다. '가장 아픈 곳'이 아니라 '가장 눈에 띄는 곳'만 치료하려 했던 전형적인 전시 행정입니다.

• 기본기 상실

• Rate Limiting 부재 : API나 조회 페이지에 호출 횟수 제한을 걸지 않는 것은 "현관문을 열어두고 아무나 들어오라"고 하는 것과 같습니다.
• 계정 수명주기 관리 실패 : 퇴직한 교원 3,000명의 권한이 살아있다는 것은 IAM(Identity and Access Management) 프로세스가 전혀 작동하지 않았음을 의미합니다.

3. 시사점 : '디지털 플랫폼 정부'의 모래성

정부는 그동안 '디지털 플랫폼 정부'를 표방하며 데이터를 연결하고 개방하는 데 주력했습니다.

하지만 이번 감사 결과는 그 연결 통로가 해커들의 고속도로로 쓰일 수 있음을 증명했습니다.

보안이 담보되지 않은 연결은 혁신이 아니라 재앙입니다.

특히, KISA의 다크웹 DB와 실제 현황이 일치하지 않아 3만 8천 개 사이트가 사각지대에 있었다는 점은, 유출 후의 사후 대처조차 불가능한 상태였음을 시사합니다.

4. 해결 방향 : '문서 보안'에서 '실전 보안'으로

• Offensive Security 도입 의무화 : 서류상의 ISMS 인증 심사만으로는 부족합니다. 이번 감사원 감사처럼, 주기적으로 실제와 같은 블라인드 모의해킹이 필요합니다.
• 보안 부채 청산 : 화려한 AI 신기술 도입보다, 20년 전 수준에 머물러 있는 기존 시스템의 기본 프로토콜(HTTPS 적용, 입력값 검증 로직)을 수정하는 것입니다.
• 정책 우선순위 재설정 : 내부 통제도 중요하지만, 예산과 인력의 90% 이상을 실질적인 위협인 '외부 공격 방어'로 재배치해야 합니다.

"해커는 공무원처럼 '규정'을 따지지 않습니다. 그들은 가장 약한 고리를 파고듭니다.

이 기사는 우리 공공 보안이 얼마나 '현실'과 동떨어져 있었는지를 보여주고 있습니다."