백도어 논란 1년, 몸통 빠지고 꼬리만 쳐냈나
  • 이석 기자 (ls@sisajournal.com)
  • 승인 2019.11.21 10:00
  • 호수 1570
이 기사를 공유합니다

단순 시스템 오류 vs 백도어 두고 논란…시스템 구축 업체 조사조차 안 해

2018년 10월 심재철 자유한국당 의원은 ‘디브레인’을 통해 취득한 비인가 자료를 공개해 논란을 빚었다. 디브레인은 기획재정부 산하 한국재정정보원이 운영·관리하는 디지털 예산회계 시스템이다. 전국 공무원의 예산집행 시스템으로, 외부에 유출될 경우 큰 혼란을 야기할 수 있는 일종의 국가 기밀 자료다.

이 때문에 기재부 내에서도 극히 일부만 이 시스템에 접근할 수 있다. 이용할 수 있는 자료도 제한적이다. 일부 통계 수치나 자료를 하위 메뉴인 올랩(재정정보 시스템)에 업로드하면 미리 부여된 아이디로 접속해 열람할 수 있다. 하지만 심 의원은 이 시스템에 아무런 제재도 받지 않고 접속한 후 100만 건 이상의 자료를 다운로드한 뒤 국감장에서 공개해 논란을 빚었다. 국가 기간망에 큰 구멍이 뚫린 셈이다.

심재철 자유한국당 의원은 2018년 ‘디브레인’을 통해 취득한 비인가 자료를 국감장에서 공개해 논란을 빚었다. ⓒ 연합뉴스
심재철 자유한국당 의원은 2018년 ‘디브레인’을 통해 취득한 비인가 자료를 국감장에서 공개해 논란을 빚었다. ⓒ 연합뉴스

국가 기간망 뚫렸지만 후속 조치는 ‘미지근’

심 의원은 당시 “정상적인 절차를 통해 자료를 취득한 만큼 문제 될 것이 없다”고 해명했다. 올랩에 접속한 뒤 백스페이스 키를 2번 눌렀더니 시스템에 접속할 수 있었다는 것이다. 기자들을 불러놓고 재정 정보에 접근하는 과정을 직접 시연해 보이기도 했다.

이 때문에 정치권 일각에서는 이 오류가 시스템 구축 업체가 심어놓은 백도어일 수 있다는 주장까지 제기됐다. 심상정 정의당 의원은 “백스페이스 키 2번에 국가 기밀이 뚫렸다는 것은 단순한 오류가 아니다. 시스템 구축 업체인 삼성SDS가 만든 백도어일 수 있다”며 “삼성SDS가 시스템을 구축한 2007년부터 최근까지 기밀 자료를 모두 열람했을 수 있는 만큼 철저한 조사가 필요하다”고 지적했다.

기재부는 비인가 자료를 열람하고 공개한 혐의로 심재철 의원과 보좌관들을 검찰에 고발했다. 아울러 자료가 유출된 재정정보원에 대한 대대적인 감사를 실시했다. 하지만 거기까지였다. 오류가 발생하고 1년이 넘었지만 아직까지 명확한 원인조차 밝혀내지 못했다.

요컨대 재정정보원은 2017년 삼성SDS가 구축한 시스템의 고도화 작업을 진행했다. 이 과정에서 백스페이스 키를 통해 비인가 자료에 접근할 수 있다는 사실을 협력업체로부터 보고받았다. 그럼에도 아무런 조치를 취하지 않은 것으로 기재부 감사 결과 나타났다. 기재부는 이 직원들에 대해 강력한 징계를 명령했지만, 재정정보원은 자체 심의를 통해 직원들의 징계 수준을 경감시켰다.

처음 백도어 논란을 촉발했던 심재철 의원도 마찬가지다. 서울중앙지검 형사4부는 올해 4월 심 의원과 보좌진 3명에 대해 기소유예 처분을 내렸다. 혐의는 인정되지만 여러 정황을 고려해 재판에는 넘기지 않겠다고 밝혔다.

심지어 백도어 논란을 빚었던 삼성SDS에 대해 기재부는 조사조차 하지 않았다. 기재부가 작성한 감사처분요구서에 따르면 기재부는 시스템 고도화 작업을 담당했던 중소기업 2곳만 조사했다. 당시 A기업은 “시스템 결함을 인지하고 B기업에 문제 해결을 통보했다”고 기재부 측에 해명했다. 반면 B중소기업은 “A중소기업으로부터 해당 사실을 전달받은 바가 없다”고 주장한 것으로 알려졌다.

국가 기간망이 뚫렸음에도 누구 하나 책임지는 사람이 없는 것이다. 결과적으로 ‘백도어 논란’의 불씨를 댕겼던 국회의원은 검찰에서 면죄부를 받았다. 시스템 구축 업체 역시 기재부의 감사망에서 벗어났다. 협력업체 두 곳만 조사한 채 조용히 사건을 덮은 셈이 됐다.

문제는 차세대 디브레인 구축 사업자 선정을 위한 입찰이 현재 진행 중이라는 점이다. 관련 예산만 3년여 동안 1200억원대에 달한다. 하지만 비인가 접근 경로를 구축했을지도 모른다는 의심을 사왔던 삼성SDS가 동일한 사업의 입찰을 준비하고 있어 논란이 예상된다.

정치권의 한 관계자는 “백스페이스 키 두 번으로 국가 기간망이 뚫렸다. 그만큼 시스템이 허술하게 만들어졌을 수 있는데도 실체적 진실에 다가가지 못했다며 “이런 상황에서 입찰이 강행되는 것은 문제의 소지가 있다”고 지적했다.

서울 송파구에 위치한 삼성SDS 본사 ⓒ 시사저널 박정훈
서울 송파구에 위치한 삼성SDS 본사 ⓒ 시사저널 박정훈

차세대 디브레인 구축 사업도 난항

업계의 의견도 크게 다르지 않았다. 업계에서는 이번 수주가 저가 입찰로 흐르는 것을 가장 우려하고 있다. 한 업계 관계자는 “삼성SDS는 과거에도 입찰 가격의 하한선인 80%를 적어내 사업을 따냈다. 컨소시엄으로 입찰에 참여한 중소기업들의 불만이 많았던 것은 당연하다”며 “저가 입찰이 자칫 품질 저하로 흐를 경우 제2, 제3의 백도어 사태가 벌어질 수도 있다”고 말했다.

그동안 눈치를 보던 LG CNS가 이번 차세대 디브레인 구축 사업의 입찰에 참가하지 않은 것도 이 때문으로 알려졌다. 기재부는 11월12일 사업자 선정 입찰을 마감한 뒤, 11월14일 프레젠테이션을 진행할 예정이었다. 업계에서는 이번 입찰이 삼성SDS와 LG CNS의 ‘2파전’ 대결이 되지 않을까 조심스럽게 점쳐왔다. 하지만 LG CNS가 돌연 입찰에 참여하지 않으면서 유찰됐다. 회사 사정에 밝은 관계자는 “내부적으로 경쟁사의 최저가 입찰을 가장 우려했다”며 “기재부는 11월26일 2차 입찰을 진행할 예정이다. 향후 프로젝트 수익성을 면밀히 검토한 후 재입찰 참여 여부를 결정할 계획인 것으로 안다”고 말했다.

이와 관련해 삼성SDS 관계자는 “회사는 2014년께 디브레인의 유지·보수 업무를 종료했다. 2017년 고도화 과정에서 시스템 개선을 맡은 한 협력업체의 과실로 검찰 조사에서 결론이 난 것으로 안다”며 “이미 회사에 책임이 없는 사안을 가지고 다시 구설에 올라 당황스럽다”고 해명했다.

심재철 의원실 측도 “당초 정부가 제기했었던 해킹과 불법적인 침입이 없었고 정부가 허가해준 아이디를 통해 정상적으로 예산자료를 취득했음이 검찰 조사를 통해 밝혀진 만큼 문제가 없다”고 밝혔다.

심 의원실 측은 오히려 “심재철 의원이 제기한 청와대와 정부 각부처의 부적절한 업무추진비 사용실태가 감사원 감사를 통해 모두 사실로 밝혀졌다”며 “국민을 대신해 정부의 예산사용 실적을 파악하고, 잘못된 점에 대해 지적하고 수정 요구 할 수 있는데도 불구하고 정부가 국회의 정상적인 활동을 문제삼은 것은 부적절하다고 본다“고 강조했다. 

이 기사에 댓글쓰기펼치기