정부, 무선보안 불감증… 삼성 등 대기업은 무선공유기 금지하는데

  • Array
  • 입력 2011년 7월 12일 03시 00분


코멘트

정부는 단속규정 없어 ‘허공에 자료 방치’

8일 취재팀이 정부과천청사에서 무선공유기 사용 실태를 파악한 결과 모두 12대의 서로 다른 무선공유기가 발견됐다. 이 중 보안설정을 하지 않은 공유기가 8대였다. 이 같은 사실은 청사 안에서 일반 노트북으로 무선 연결망을 검색한 결과 쉽게 확인할 수 있었다. 농림수산식품부는 4층 제1, 2차관실에서 누군가가 공유기로 접속을 한 상태였고 기획재정부는 2층 대회의실에서 무선공유기를 사용하고 있었다. 이날 지식경제부 두 대를 제외한 나머지 공유기는 모두 초보적인 보안설정조차 하지 않은 상태였다.

○ 취약한 해킹불감증

기획재정부와 고용노동부가 함께 쓰는 청사 1동에서는 양 부처의 영문 명칭을 줄인 말인 ‘MOSF(기획재정부·Ministry of Strategy and Finance)’와 ‘MOEL(고용노동부·Ministry of Employment and Labor reserved)’이라는 이름의 무선공유기가 감지됐다. 법무부와 환경부가 함께 쓰는 건물과 국토해양부 건물에서도 보안을 설정하지 않은 공유기가 발견됐다. 지식경제부 건물에서는 ‘MKE(지식경제부·Ministry of Knowledge Economy)’라는 이름의 공유기 두 대가 발견됐다. 이날 정부과천청사에서 발견된 공유기 중 외부인이 침입할 수 없도록 보안설정을 해놓은 것은 지경부 공유기 두 대가 유일했다.

이 같은 공유기 사용은 정보 유출에 치명적인 결과를 가져올 수 있다. 취재팀이 11일 고려대 정보보호대학원과 모의 해킹을 실험한 결과 보안설정이 없는 무선공유기를 통해 쉽게 인터넷 ID와 비밀번호를 탈취할 수 있었다. 시중에서 2만∼3만 원대에 살 수 있는 외장형 무선랜카드를 PC에 꽂고 해킹 프로그램을 내려받아 실행만 하면 되는 것.

실험 결과 50여 개의 무선네트워크와 해당 네트워크에 접속한 노트북, 스마트폰의 종류가 화면에 표시됐다. 이 중 보안설정이 없는 무선공유기에 접속한 ‘Open(개방)’이라는 항목을 선택하자 즉석에서 100m가량 떨어져 있는 대학원생 정모 씨(27)의 구글 ID와 패스워드를 확인할 수 있었다. 정 씨가 접속에 제한을 두지 않는 무선네트워크에 접속해 있었기 때문에 정 씨가 스마트폰을 통해 구글 홈페이지에 로그인하며 입력한 개인정보가 즉시 노출된 것이다.

○ 심각한 보안 불감증

중요 기밀을 다루는 공공기관에서 무선공유기를 아무런 보안장치 없이 사용하는 것은 정보가 새나가는 ‘구멍’을 스스로 만들어놓는 셈이라는 지적이 있다. 특히 최근에는 무선공유기를 대상으로 한 해킹 프로그램도 인터넷에서 손쉽게 구할 수 있다. 인터넷에 유포된 해킹 프로그램을 이용하면 무선공유기에 접속한 노트북이나 스마트폰 이용자들의 인터넷 ID와 비밀번호 등을 즉석에서 수집할 수 있는 것. 이는 앞서 구글이 한국과 미국 등에서 자동차에 무선공유기 정보를 수집하는 장비를 싣고 다니며 e메일이나 메신저 송수신정보 등을 수집해 문제가 된 것과 같은 방식이다. 이처럼 무선공유기의 취약한 보안 때문에 삼성이나 LG 같은 기업에선 사무실 에서 아예 사용을 금지하고 있다. 일부 기업은 한 발 더 나아가 외부에서 노트북을 반입하는 것조차 허용하지 않고 있다.

임종인 고려대 정보보호대학원 교수는 “무선공유기를 이용하면 일반인도 쉽게 공무원들이 접속하는 홈페이지의 ID와 패스워드를 훔칠 수 있는 해커가 될 수 있다”며 “공공기관은 민감한 정보를 더 많이 보유한 만큼 보안을 철저히 해야 한다”고 지적했다.

○ 관련 제도도 미비

더 큰 문제는 공공기관에서 보안에 취약한 무선공유기를 사용하는 것을 금지할 법적 근거가 없다는 점이다. 국가정보원의 ‘국가 정보보안 기본지침’은 공공기관이 무선인터넷을 쓰기 위해서는 사전에 보안성 검사를 받도록 권고하고 있지만 단속 규정이나 처벌 규정은 없다. 이 때문에 실효성 있는 정부 차원의 정보보안 대책이 시급하다는 지적이다.

행정안전부 김회수 정보보호정책과장은 “무선공유기가 해킹에 악용될 가능성이 높다는 것은 알고 있지만 현행 규정으로는 부적절한 사용자들을 단속할 수 없고 단속한 사례도 없다”며 “명백하게 내부 기밀이 유출된 것이 확인될 경우에만 경고조치 등 인사상의 불이익을 주는 수준”이라고 말했다.

일각에선 과거 정보보호 대책을 총괄하던 옛 정보통신부가 해체된 뒤 정보보호 정책 기능이 행안부 지경부 방송통신위원회로 쪼개져 종합적인 정책 수립이 힘들다는 지적도 나오고 있다.

정진욱 기자 coolj@donga.com
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스