[정준희의 최강시사] 김승주 “심재철 의원 자료유출, 해킹에 가까워”

- 현행법상 해킹툴 사용여부 관계없이 비인가 자료 접근하면 법 위반
- 심의원의 비인가 자료 다운로드 및 취득자료 공개도 모두 정보통신망법 위반
- 정보통신망법 위반 처벌에 알 권리 등의 ‘목적성’은 중요치 않아
- 현행법상 비인가 자료 접근, 5년 이하의 징역 또는 5천만원 이하의 벌금형
- 정보시스템 보안의 허술한 부분은 검수 철저 못한 정부 책임
- 보안 오류에 정부책임 있어도, 오류 이용한 자료취득 정당화 안 돼

■ 프로그램명 : 정준희의 최강시사
■ 코너명 : <최강 인터뷰1>
■ 방송시간 : 10월 3일(수) 7:25~8:57 KBS1R FM 97.3 MHz
■ 출연자 : 김승주 교수(고려대 정보보호대학원)


▷ 정준희 : 자유한국당 심재철 의원이 미인가 재정 정보 유출을 한 데 대한 논란이 연일 계속되고 있습니다. 어제 국회에서 열린 경제 분야 대정부 질문에서는 심 의원이 직접 출석해서 재정 정보 시스템 접속 및 열람 과정을 시연하기도 했는데요. 이 자리에서 정부 관계자들의 업무추진비 사용 내역 입수 방식의 불법성 여부 그리고 업무추진비 합법성 여부를 놓고 공방이 벌어졌습니다. 그래서 이 시간에는 고려대 정보보호대학원의 김승주 교수 연결해서 심 의원 측의 자료 입수 경위의 적절성에 대해 이야기 나눠보는 시간 가집니다. 교수님, 안녕하세요?

▶ 김승주 : 네, 안녕하십니까?

▷ 정준희 : 일단 심재철 의원 측은 ID나 패스워드가 합당했고 그렇게 로그인을 했고 그 와중에 키보드 백스페이스 키를 누르다가 우연히 접속하게 됐다라는 거라서 고의성이 없었다는 주장이 있는데요. 지금 이 상황, 교수님 어떻게 보고 계십니까?

▶ 김승주 : 일단 결론적으로 보면 그것이 무슨 알 권리를 위해서 했든 어떤 공적 목적을 했든 간에 일단은 해킹에 가깝다라고 볼 수 있을 것 같습니다.

▷ 정준희 : 해킹에 가깝다?

▶ 김승주 : 네.

▷ 정준희 : 그러면 이게 해킹에 가깝다는 것은 결국은 현행법을 위반한 행위가 되는 거잖아요. 그러면 정보통신망법 위반이 되는 건가요?

▶ 김승주 : 어제 관련해서 여러 가지 이야기가 있었는데요. 우리가 보통 해킹이냐 아니냐를 다룰 때 제일 많이 보는 것이 정보통신망법이라고 하는 겁니다. 이걸 이제 줄여서 망법이라고 하는 거고 원래대로 이야기하면 정보통신망이용촉진 및 정보보호 등에 관한 법률이라고 부르고요. 어저께 실제로 심재철 의원하고 정부 쪽하고 여러 가지 논의가 있었죠? 그런데 거기서 논의가 됐던 것이 해킹툴을 써야지만 해킹이다. 또는 해킹툴을 쓰건 안 쓰건 간에 일단 비인가 자리를 접근하면 해킹이다, 이런 것들을 가지고 공방이 좀 있었습니다. 그런데 우리나라 정보통신망법 48조 1항에 따르면 누구든지 정당한 접근 권한 없이 또는 허용된 접근 권한을 넘어서 정보통신망에 침입해서는 안된다라고 규정하고 있습니다. 즉, 해킹툴을 썼느냐 안 썼느냐는 중요하지가 않고요. 허가된 자료에 접근을 했느냐 안 했느냐가 주요 관건이라고 보시면 됩니다. 그리고 현행법상에서는 이를 어길 시에는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 되어 있습니다.

▷ 정준희 : 이 과정에서 목적성 여부도 중요한가요?

▶ 김승주 : 그건 중요하지 않고요.

▷ 정준희 : 그렇군요. 그럼 결과적으로 이제 위법한 자료에 그러니까 비인가된 자료에 열람하거나 출입했느냐 안 했느냐 아니냐, 접근했느냐 아니냐. 이 문제가 핵심인 거군요.

▶ 김승주 : 네, 실제로 예를 들어 학교에서 연구 목적으로 시스템 오류를 찾아서 어떤 정보를 뺐다고 하면 그것은 연구 목적을 위해서 했음에도 불구하고 정보통신망법에 따라서 처벌받을 수 있습니다.

▷ 정준희 : 그럼 실제로 법 적용도 그런 식으로 엄격하게 적용이 되는 건가요?

▶ 김승주 : 그래서 사실은 저희가 학교에서 학생들을 가르칠 때는 온라인으로 연결된 시스템에 대해서는 일절 해킹 시도 같은 걸 하지 마라. 그러니까 그것이 무슨 해킹툴을 사용하든 아니든 간에 온라인으로 연결된 상태에서는 어떠한 행위도 하지 말라고 가르치고 있습니다.

▷ 정준희 : 그러면 그 자신이 하는 행동이, 그러니까 접근된 자료가 위법하다 아니다 또는 접근이 가능한 자료다 아니다라고 하는 것들을 굳이 뭔가 장벽을 설치해놓지 않아도 판단할 수 있는 어떤 조건이 있을까요?

▶ 김승주 : 일반적으로 우리가 어떤 시스템에 접근하게 되면 보통은 ID하고 패스워드를 입력하고 그다음에는 여러 가지 메뉴창에 메뉴들이 나오지 않습니까? 그런 것들을 통해서 자료에 접근을 하게 됩니다. 그런 것 외에 어떤 다른 행동을 통해서 자기가 평소에 못 보던 자료가 뜬다면 그걸 상식적으로 봤을 때 아, 이거 좀 이상한 일이 발생했구나라고 알 수 있거든요. 예를 들면 우리가 인터넷 뱅킹에 처음 로그인할 때 ID하고 패스워드 입력하지 않습니까?

▷ 정준희 : 그렇죠.

▶ 김승주 : 그러면 ID하고 패스워드 입력해서 접속을 한 후에 계좌이체를 하기 위해서 이제 계좌이체 메뉴를 눌렀습니다. 그러면 계좌번호하고 금액을 입력하게 돼 있지 않습니까? 그런데 거기에 계좌번호를 입력하지를 않고 백스페이스키를 2번 눌렀어요. 그랬더니 갑자기 자기가 평소에는 볼 수 없었던 다른 사람 계좌 정보들이 막 올라오는 겁니다. 그러면 누가 보기에도 아, 이게 지금 이상한 일이 발생했구나라고 인지할 수 있잖아요. 그런 것들을 이제 비인가 자료에 접근했다, 권한이 없는 자료에 접근했다. 이렇게 이야기하는 겁니다.

▷ 정준희 : 그러면 그렇게 해서 취득된 자료를 공개하는 부분, 이 부분도 이제 합법성 여부를 따져야 할 것 같은데요.

▶ 김승주 : 물론 문제가 될 수 있죠. 아까 제가 우리나라 정보통신망법 48조 1항에는 누구든지 접근 권한 없이 접근 권한을 넘어서 망에 침입해서는 안된다라고 규정하고 있다고 그랬잖아요. 같은 48조 3항에는 누구든지 정보통신망에 안정적 운용을 방해하거나 방해를 일으켜서는 안 된다고 돼 있습니다. 그러면 지금 심재철 의원께서 190회에 걸쳐서 비인가 자료 100만 건 이상을 다운로드 받으셨거든요. 일단은 평상시랑 다르게 과도하게 접속해서 수많은 자료를 내려 받았다는 것 자체가 정상적인 운용, 안정적 운용을 방해했다라고 볼 수 있을 것 같고요. 또 두 번째로는 그 자료를 공개하는 과정에서 권한이 없는 다른 대중들이 또 그 자료를 볼 수 있게 되지 않습니까?

▷ 정준희 : 그렇죠.

▶ 김승주 : 그것도 일단은 48조 3항에서 이야기하고 있는 안정적 운용을 방해하고 있다라고 볼 수도 있을 것 같습니다.

▷ 정준희 : 그러니까 위법하게 접근해서 얻은 자료를 그렇게 해서 취득한 자료를 공개하는 것도 따라서 위법성이 되는 거고 그다음에 그 결과가 법에서 규정하고 있는 망의 안정적 운용을 위배하는 그런 측면까지 있는 거겠네요?

▶ 김승주 : 네, 네.

▷ 정준희 : 그러면 약간은 또 반대쪽으로 상식적으로 이제 더 한 번 생각해 보면 이를 테면 우리가 망에 접근할 때 보면 대부분이 차단이 되잖아요. ‘액세스 디나이드’라고 나오든가 뭐. 여기서는 기재부 같은 경우는 그게 뭐라고 거기에 떠 있었다. 그러니까 비인가 된다라고 하는 것이 고지가 돼 있었다라고 하는 그런 식의 이야기도 하는데 여기에 대해서 솔직히 약간 허술하지 않았나 이런 생각이 사실 드는 건 또 사실이거든요.

▶ 김승주 : 아, 그건 당연한 거고요. 그러니까 사실은 이 정도 중요한 시스템이라면 그것이 처음에 만들어져서 정부에 납품이 될 때 검수를 좀 철저하게 했어야 했거든요. 그런데 그 단계에서 그러니까 제품에 오류가 있음에도 불구하고 그것을 검수 단계에서 발견해내지 못한 것은 일단 정부 측에 잘못이 있다고 봐야겠습니다. 그렇지만 해킹이라는 것 자체가 어떤 설계나 부연상의 오류를 찾아서 시스템을 공격하는 행위를 보통 해킹이라고 그러거든요. 여기서 공격이라는 건 권한 없는 자료를 갖고 왔다는 이야기죠?

▷ 정준희 : 그렇죠.

▶ 김승주 : 그런데 1차적으로는 이런 오류를 발견하지 못한 정부의 책임이 있지만 그 오류를 이용해서 자료를 갖고 온 행위도 정당화될 수는 없을 것 같습니다.

▷ 정준희 : 그럼 기재부는 여기에 대해서는 어떤 입장 혹시 갖고 있는지 아시나요?

▶ 김승주 : 일단은 어제 발표된 걸로만 보면 일단 이와 관련한 것들에 대해서 감사원 감사를 종합적으로 요청을 한 것 같습니다. 그 결과를 기다려 보면 어떤 문제들이 절차상에 있었는지가 아마 이제 나오지 않을까 싶습니다.

▷ 정준희 : 그래서 지금 온라인상이나 이런 데서 나오는 비유를 보면 이게 문이 열려 있는데 들어간 거냐, 문을 뜯고 들어간 거냐라고 하는 정도의 차이지 실질적으로 들어가서 뭔가를 행동을 한 것은 분명히 문제가 있는 것이다라는 비유는 대체로 적절한가요?

▶ 김승주 : 그렇죠. 이게 48조 3항은 어느 정도로 강력하냐 하면요. 저희가 보통 해커들끼리 이야기하는 것은 우리나라 정보통신망법 48조는 단순히 문이 열려 있다고라고 해서 자료를 가져오는 걸 해킹이라고 하는 것이 아니고 예를 들어 우리가 이렇게 길거리 가다 보니까 어느 집 대문이 있어요. 그런데 그 대문이 제대로 잠겼나? 라고 해서 이렇게 흔들어봤다고요. 그 흔들어보는 행위 자체도 이건 안정적 운용을 방해하는 거다라고 해서 고소할 수 있도록 되어 있습니다.

▷ 정준희 : 알겠습니다. 핵심적인 내용이 많이 이제 다뤄져서요. 그럼 보안 전문가를 모셨으니까 페이스북 해킹 문제도 좀 이야기해야 할 것 같은데. 지금 계속해서 계정이 해킹된 그런 식의 문제들 나오잖아요. 이건 어떤 사건이라고 봐야 하죠?

▶ 김승주 : 이제 페이스북에서 보면 여러 가지 사진 같은 것들을 나만 보기라든가 친구들만 보기, 이런 식으로 설정할 수 있게끔 돼 있습니다. 이런 것들을 설정을 해 놓은 다음에 보통 사용자들은 이런 어떤 나만 보기나, 친구들만 보기 아니면 공개 같은 설정이 제대로 돼 있는지 확인하기 위해서 타임라인 미리보기라는 기능을 통해서 그걸 확인할 수 있거든요. 영어로 이제 ‘view as’라고 쓰여 있을 겁니다. 이 기능상에 오류가 있는 겁니다. 물론 페이스북이 구현할 때 잘못 구현한 거죠. 그래서 해커가 이 구현상의 오류, 타임라인 미리보기라는 기능상의 오류를 이용해서 타인의 계정에 무단으로 침입할 수 있게 된 걸 말하는 거고요. 실제로 그렇게 무단으로 해커가 침입한 계정이 5천만 건 이상 되는 걸로 지금 파악되고 있습니다.

▷ 정준희 : 이게 뭐 전 세계에서 수십억 명이 쓰는 그런 거라 상당한 파급이 있는데 지금부터 특히 페이스북, 대표적으로 페이스북 같은 걸 이용한 즉, SNS를 이용한 다른 사이트 로그인 문제도 있어서 문제가 상당히 심각한 거라고 받아들여야 하잖아요.

▶ 김승주 : 그렇죠. 일단은 타인의 계정으로 무단으로 접근을 하게 되면 일단 페이스북 같은 경우는 개인 정보들을 워낙 많이 올려놓고 있거든요. 그래서 일단은 1차적으로는 개인정보 탈취 문제가 있을 수가 있고요. 그다음에 이 페이스북에는 이제 메신저 기능이 있습니다. 그래서 타인을 사칭해서 무슨 뭐 피싱 공격 즉, 문자 피싱이나 이런 공격들을 할 수도 있고요. 아니면 조금 전에 말씀하셨듯이 소셜 로그인이라고 그러는 페이스북을 이용해서 다른 사이트에 로그인 할 수 있는 기능을 이용해서 어떤 2차, 3차 피해를 야기할 수도 있습니다.

▷ 정준희 : 이게 그러니까 보물창고, 그러니까 해커 입장에서는 보물창고일 뿐만이 아니라 다른 데까지도 연결이 될 수 있는 마스터키 같은 그런 느낌 같은 게 있는 거네요?

▶ 김승주 : 그렇죠.

▷ 정준희 : 지금 방통위가 여기에 대해서 경위 설명을 요청했다고 하는데 여기에 대해서 뭔가 피해에 대해서 규모 산출이나 그다음에 이거에 대한 어떤 뭐 보상 요구라든가 이런 것들을 할 수 있는 어떤 근거 같은 것들이 있나요?

▶ 김승주 : 이게 이제 국내하고 유럽 쪽이 조금 다릅니다. 이제 유럽 같은 경우에는 개인정보를 소홀히 해서 고객의 개인정보가 유출된 경우에 해당 기업에 전 세계 연간 매출액의 4%. 또는 2천만 유로 중에서 큰 금액을 과징금으로 물리고 있습니다. 그래서 유럽 같은 경우에는 현재 페이스북에게 최대 16억 3천만 달러. 그러니까 우리나라 돈으로는 1조 8,125억 원 정도 됩니다. 최대 이 정도 액수를 과징금으로 물릴 수 있을 거다라고 보고 있고요. 국내의 경우에는 이와 관련한 항목을 정보통신망법에 정의하고 있거든요. 이 정보통신망법에서는 이용자에게 손해가 발생할 때에는 법원은 그 손해액의 3배를 넘지 않는 범위 내에서 손해배상액을 정할 수 있다, 이렇게 돼 있습니다.

▷ 정준희 : 그러면 손해액에 대한 추산이 뭔가 또 이뤄져야겠네요?

▶ 김승주 : 그렇죠. 직접적인 어떤 손해도 있을 수 있을 거고 2차, 3차 피해로 인한 어떤 손해도 있을 수 있을 텐데 그것을 산정하는 게 그렇게 쉽지는 않을 겁니다.

▷ 정준희 : 그럴 것 같네요. 지금 미국 같은 데는 워낙 이런 거에 대한 집단 소송이나 이런 게 많이 있는데 지금도 준비 중이라고 하거든요. 국내에서는 이게 어떻게 이용자들이 대응을 해야 할까요?

▶ 김승주 : 국내 같은 경우는 사실 이런 개인정보 유출 사고가 날 때 이용자들이 배상을 받는 경우가 그리 많지 않습니다.

▷ 정준희 : 그러니까요. 그런데 지금 정부 기조가 많이 바뀌어서 이런 어떤 사고가 날 때 엄하게 과징금을 물리겠다는 기조로 바뀌고 있는 것 같고요. 그래서 이번 페이스북 사건은 조금은 눈여겨봐야 할 걸로 보입니다. 또 일반 이용자께서도 우리나라에서 이런 사고가 너무도 많이 나다 보니까 이제는 좀 이런 거에 되게 무덤덤해져 계세요.

▷ 정준희 : 그렇죠.

▶ 김승주 : 이거 뭐 또 그냥 발생한 거 또 발생한 거 아니야? 뭐 이렇게 생각을 하시거든요. 그런데 명심하셔야 할 것이 우리가 이런 데 무덤덤해지면 무덤덤해질수록 우리 권리를 못 찾게 되는 겁니다. 그래서 이런 어떤 개인정보 유출 사고가 나면 이제 여러 어떤 사이트나 이런 데를 통해서 집단 소송을 준비 중입니다, 이런 글들이 올라오거든요. 그럴 때 좀 적극적으로 동참하시고 이런 어떤 개인정보 유출 사고가 난 어떤 지역들, 어떤 그런 서비스들에 대해서는 어떤 이용을 자제한다든가 해서 업체들한테 좀 일벌백계하는 어떤 그런 좀 모습을 보일 필요가 있다고 보입니다.

▷ 정준희 : 방금도 지금 잘 이야기해주셨는데 사실 우리나라의 주민등록번호는 이제 공유제나 마찬가지다라는 식의 그런 허탈감 같은 것도 좀 있는데요. 이 디지털 시대에 개인정보 보호 또는 정보 보호에 관련해서 기본적으로 어떤 접근이 필요할까요?

▶ 김승주 : 일단은 요새 SNS 서비스 같은 게 너무 많아지면서 일단 사용자분들께서 개인정보를 자발적으로 너무 많이 올리고요. 우리 뭐 어디 여행 간다, 뭐 한다, 우리 집에 뭐 샀다 이런 걸 다 올리시거든요.

▷ 정준희 : 그렇죠.

▶ 김승주 : 그래서 일단 개인정보를 보호하려면 본인의 개인정보를 인터넷에 덜 올리려는 노력이 필요하고요. 두 번째는 요새 이제 각종 앱 같은 거 설치하면 여러 가지 이건 어디에 접근합니다, 이렇게 설치해도 될까요? 이런 권한들을 물어봅니다. 이건 주소록에 접근합니다, 전화번호부에 접근합니다 이런 것을 물어보거든요. 그런데 그거를 꼼꼼히 읽어보지 않으시고 그냥 무조건 다 YES를 누르신다는 것이죠.

▷ 정준희 : 그렇죠.

▶ 김승주 : 그런 것들을 좀 자제하실 필요가 있습니다.

▷ 정준희 : 알겠습니다. 자세한 설명 감사합니다.

▶ 김승주 : 네, 고맙습니다.

▷ 정준희 : 고려대학교 정보보호대학원의 김승주 교수였습니다.