심재철이 본 재정시스템, 정부 보안관리 대상도 아니었다

-심재철 측이 본 OLAP(올랩), '주요정보통신기반 시설' 지정안돼 
-셀프 평가로 디브레인만 해당 시설로 지정
-망분리된 디브레인·올랩, 올랩에 중요자료 없을 수도

지난달 27일 정부세종청사 기획재정부에서 김용진 2차관(왼쪽)과 김재훈 한국재정정보원장이 '한국재정정보원의 비인가자료 유출 관련 입장'을 밝히는 공식 브리핑을 하고 있다. 연합뉴스

비공개 예산정보 무단 열람 논란 속에 심재철 자유한국당 의원 측이 사용한 재정분석시스템(OLAP.올랩)이 정부의 '주요정보통신기반 시설'에 지정되지 않아 관리가 부실했다는 지적이다.

올랩의 원천데이터는 디지털예산회계시스템(디브레인)에 포함돼있다. 이같은 특성에 따라 정부는 자체 평가로 디브레인만 해당 시설에 지정했을 뿐, 올랩은 포함시키지 않았다.

올랩과 디브레인은 망분리된 상태인터라 정부에서 디브레인의 일부 자료를 올랩으로 옮기는 과정을 거친다.

결국 중요정보가 유출됐다면 이 과정에서 정부 측 실수로 이뤄졌을 가능성도 있지만, 애초에 올랩에 중요자료 자체가 없을 수 있다는 분석도 제기된다.

■정부, 스스로 '올랩' 보안대상 배제
2일 본지가 입수한 한국재정정보원의 국회 기획재정위원회 제출 자료에 따르면, 올해 조직된 디브레인 시스템 주요정보통신기반시설 지정평가반 구성원 5명 중 3명이 직속 담당자인 기재부 전산사무관, 재정정보원 사이버안전센터 직원, 하청업체인 SK인포섹 팀장으로 구성됐다.

디브레인이 해당 시설 지정 기준인 80점을 웃도는 점수를 받는 과정에서 이들 디브레인과 직접 관련된 당사자들이 참여한 것이다.

당시 지정평가반 반장은 금융위원회 기술서기관이 맡았고, 외부인으로는 민간기업의 차장급 네트워크 전문가가 참여했다. 결국 디브레인은 평균 84점의 점수를 받아 국가정보원 및 과학기술정보통신부가 관리하는 주요정보통신기반시설에 지정됐다.

주요정보통신기반시설로 지정되면 국정원 등은 해당 시설로 지정된 시스템의 취약점을 분석, 평가하고 해킹 등에 대한 예방과 복구대책 등을 모색한다.

그러나 재정정보원은 올랩 시스템에 대해선 해당시설 지정기준 '자격미달'로 지정대상에서 제외된다고 밝혔다.

다른 시스템 핵심업무에 영향을 주는 정보 연계가 없고, 원천데이터는 디브레인에 보관돼있어 해킹시에도 보완이 가능하는 판단에 따른 것이다.

앞서 재정정보원은 지난 6월1일부터 8월31일까지 디브레인 보안 컨설팅을 진행했으나 올랩에 대해선 점검하지 않았다.

자유한국당 심재철 의원이 지난달 27일 국회에서 열린 긴급 의원총회에 참석해 연휴 중 발생한 자신의 국회 사무실 검찰 압수수색에 관련해 자신의 입장을 밝히고 있다. 사진=박범준 기자

■올랩, 디브레인과 망분리..중요자료 없을수도
디브레인 사용자는 GPKI 인증서를 발급받은 6만5000명 규모의 공무원들인 반면, 올랩은 아이디를 발급받은 1400여명의 국회 보좌진들이 이용한다.

디브레인과 올랩의 망이 서로 분리돼있어 하루에 한번정도 디브레인에서 pdf 파일을 추출, 이동식 저장장치(USB)에 저장해 물리적으로 분리된 올랩 서버로 옮긴다.
결국 디브레인에서 공개해도 되는 파일들을 올랩으로 저장시킨다는 것이다.

디브레인에 원천데이터가 있어 국정원 등으로부터 관리를 받고 있으나, 올랩의 경우 중점보안 관리에서 배제된 채 디브레인에서 걸러진 정보를 저장하고 있다는 설명이다.

기재위 관계자는 "디브레인과 올랩은 다른데도, 심 의원 측이 40만여건 이상을 내려받다 보니 중요 자료가 있을 수 있다고 보는 정부와 심 의원 측 공방만 치열해지고 있다"며 "망분리돼 다운로드를 받아 심는 과정에서 중요자료가 올랩에 아예 없을 수도 있다"고 진단했다.

hjkim01@fnnews.com 김학재 기자