Home > 전체기사
[국감 보안이슈] KISA 직원, 경품 당첨 위해 악성코드 빼돌렸다 적발
  |  입력 : 2017-10-17 18:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
버그바운티, 사이버대피소, 하나투어 개인정보 유출사건까지 뜨거운 감자
KISA 직원, 경품 당첨 위해 악성코드 빼돌렸다가 내부 감사에서 적발


[보안뉴스 김경애 기자] 17일 오후에 진행된 한국인터넷진흥원(KISA)의 국감에서는 △발신번호 변작과 스팸 증가 △포상제 신고 제도 △평창동계올림픽 △경품 이벤트 응모 위해 KISA 직원이 악성코드를 빼돌린 사건 △하나투어 개인정보 유출사건 △디도스 공격 대응방안 등의 이슈를 두고 열띤 공방을 벌였다.

[이미지 = iclickart]


우선 자유한국당 민경욱 의원은 “발신번호 변작이 금감원 콜센터 번호까지 사칭하며 이뤄지고 있다”며 “이로 인한 피해액은 1,924억원이며, 올해 상반기만 22,041건이 발생했다”고 지적했다.

금융당국에 따르면 보이스피싱 사건 중 위조된 전화번호를 이용한 경우가 점차 증가하고 있는 것으로 조사됐다. 발신번호 변작은 불법이며, 이를 이용해 돈을 버는 건 범죄행위다. 이에 대한 피해액은 무려 2,000억원으로 집계됐다. 관련 법이 시행된지 2년이 지났음에도 발신번호 변작 신고 건수와 적발사례는 여전히 증가 추세라는 얘기다.

게다가 3년 동안 발신번호 변작이 이루어진 63개를 검찰에 수사 의뢰했는데 8개 업체는 2년 연속 적발됐으며, 3년 연속 적발된 업체도 있는 것으로 드러났다. 이에 보다 강력한 처벌이 이루어질 수 있도록 법 개정이 시급하다고 민 의원은 지적했다.

불법 스팸 역시 이전보다 10배 이상 증가한 것으로 나타났다. 게다가 지인 도용 등 스팸 문제는 갈수록 심각해지고 있다는 것. 하지만 발신번호 변작과 스팸 관련 예산은 도리어 줄었기 때문에 관련 예산 확대와 함께 KISA가 관리감독을 더욱 강화해야 한다는 의견이 제기됐다.

이어 버그바운티 제도의 실효성 문제도 제기됐다. 이와 관련 더불어민주당 변재일 의원은 “포상제의 취지는 좋으나 여러 차례 취약점이 발견된 업체의 경우 명단을 공개하거나 소프트웨어 판매를 금지하는 등 강력한 조치가 병행돼야 한다”며 취약점이 가장 많이 발견돼 포상금이 지급된 상위 10개 업체와 해당 보안취약점이 무엇인지 자료 제출을 요청했다. 이와 함께 변 의원은 정부 예산으로 지원되는 포상금 제도가 보다 실효성 있게 집행될 수 있도록 대책을 마련해야 한다고 덧붙였다.

평창동계올림픽을 앞두고 사이버보안을 강화해야 한다는 의견도 제기됐다. 자유한국당 박대출 의원은 “평창올림픽은 ICT 올림픽으로 UHD, AI, VR, 5G 등 신기술이 대거 도입되는 등 ICT 분야가 획기적으로 발전할 수 있는 기회이기도 하다. 하지만 KISA는 이를 제대로 활용하지 못하고 있다”며, “사이버보안 위협에 있어서도 네트워크 점검, 일부 인력 파견이 전부”라고 지적했다.

이에 대해 KISA 전길수 본부장은 “KISA에서는 평창동계올림픽 조직위원회에 침해대응단장급 직원을 파견해 정보보호팀 업무를 맡고 있다. 홍보사이트의 취약점과 웹사이트 점검, 시스템 점검 등의 업무를 하고 있다. 컨설팅 업무는 내부적으로 협의 중에 있으며, 사이버보안 분야 연락체계는 메일과 전화로 필요한 부분을 지원하고, 최근 발견된 악성코드는 KISA에서 분석해 정보를 공유하는 등 예방체계로 진행하고 있다”고 답변했다.

이에 대해 박대출 의원은 “단순 지원업무가 아닌 좀더 적극적이고 유기적인 체계를 마련해 보안위협에 대해 상시로 점검할 수 있는 사이버보안 대책을 강구해야 한다”고 당부했다.

이어서는 지난 6월 KISA 자체 감사를 통해 적발된 사건을 두고 문제 제기가 잇따랐다. KISA 내부직원이 보안업체에서 진행하는 경품이벤트에 당첨되기 위해 비인가자임에도 인가자의 계정정보를 빌려 악성코드를 빼돌리다 적발된 사건이었다.

이에 대해 박대출 의원은 “악성코드를 잡아내야 할 기관에서 어떻게 이런 사건이 발생할 수 있느냐”며 “고양이에게 생선을 맡긴 꼴”이라고 비판했다.

이에 대해 KISA 박정호 부원장은 “해당 직원에 대해서는 인사 조치를 단행했고, 특정 서비스에 들어가려면 IP 어드레스에 대해 차상위자의 결제를 받도록 수정했다”며 “앞으로도 보안을 더욱 강화하겠다”고 답변했다. 하지만 개인적 일탈에 대한 조치가 아닌 근본적인 시스템 개선이 필요하다는 게 박대출 의원의 지적이다.

더불어민주당 이상민 의원은 사이버보안 예산이 부족하다는 점과 함께 사이버공격은 전방위적으로 영향을 미치는 데 비해 공격 대응은 국정원, 국방부, 행안부 등 개별적으로 나뉘어져 있다는 점을 언급했다. 이에 사이버공격 대응은 범정부적인 차원에서 통합적으로 이루어져야 한다는 점을 강조했다.

또한, 국감에서는 북한 소행으로 추정되는 하나투어 개인정보 유출 사건도 언급됐다. 특히, 북한의 사이버공격에 속수무책으로 당하는 현실이 반복되는 문제점이 집중 제기됐다.

이에 대해 과기정통부 김용수 제2차관은 “해킹 이슈와 관련해서는 책임을 통감한다”며 “랜섬웨어를 비롯해 해킹 이슈에 대한 대책을 마련할 것”이라고 답변했다.

이외에도 △좀비 PC가 4년 동안 7배 이상 증가한 점 △중소기업의 사이버대피소 등록 절차 간소화 △중소기업의 정보보호 투자에 대한 세제혜택 등 실질적 지원 △지능적으로 변모하고 있는 디도스 공격 대응책에 대한 요구사항도 제기됐다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)