지난 5월 랜섬웨어의 무차별 공격으로 전 세계가 떠들썩했던 무렵, 국민연금 내부를 발칵 뒤집은 사건이 하나 터졌습니다. 기간제 근로자로 일하던 공단 직원이 사내 PC(개인용 컴퓨터)에 '토르(Tor)' 프로그램을 깔아놓고 빈번하게 이용해 온 흔적을 내부 감사 과정에서 발견했던 것입니다.
토르는 전 세계에서 자발적으로 제공된 가상 컴퓨터와 네트워크를 여러 차례 경유해 이용자의 인터넷 접속 흔적을 추적할 수 없도록 하는 서비스입니다. 법적으로 차단된 사이트도 익명으로 방문할 수 있고 발신자를 밝히지 않은 채 데이터를 전송할 수 있어 네트워크 감시나 트래픽 분석, 위치 추적 등이 어렵습니다. 원래는 미 해군이 보안을 위해 개발한 프로그램이지만 인터넷 검열에서 자유롭다보니 온갖 불법 콘텐츠가 유통되는 인터넷 지하공간으로 여겨집니다.
문제는 토르 브라우저는 대부분의 공공기관에서 허용하지 않는 비인가 프로그램이라는 점입니다. 국민연금공단 역시 '정보보안업무예규' 제 25조 'PC등 단말기 보안관리' 등에 따라 인터넷과 연결된 상용 메신저, 웹하드, P2P 등 보안 취약 프로그램이나 비인가 프로그램의 사용을 금지하고 있습니다.
이런 보안 규정이 명백히 존재하지만 실제 국민연금의 보안 시스템은 구멍 투성이입니다. 이번에 문제가 된 직원은 토르 프로그램을 지난 2015년부터 2017년 5월까지 2년여 간 연평균 28회 가까이 접속해 별다른 문제 없이 사용해왔던 것으로 나타났습니다. 이 직원은 토르 프로그램으로 접속해 국민연금 가입자의 주민등록번호나 외국인번호, 핸드폰번호와 같은 개인정보가 담긴 엑셀파일을 상용메일 계정으로 발송하는 등 금지행위를 손쉽게 했습니다. 이는 사내PC로는 접속이 안되는 것입니다. 외부 메일로 내보낸 개인정보들은 직원 개인 노트북에도 저장했고, 기간제 근로자의 계약 기간이 끝난 이후에도 보관했습니다.
한 부서에서 일어난 직원 개인의 일탈 행위로 보기에는 문제의 심각성이 큽니다. 감사 결과 국민연금 내 보안담당 부서는 공단 내 직원이 업무용 PC로 비인가 프로그램을 사용하지 못하도록 주기적으로 점검하지도 않았고, 비인가 프로그램의 사용 행위가 발생할 경우 이를 즉시 탐지할 수 있는 시스템도 없었습니다. 이번 비인가 프로그램 사용 적발 역시 공단에서 자체적으로 인지한 것이 아니라 사이버 위기에 대응해 국가정보원이 보안정책 강화 지침을 내림에 따라 우연히 탐지된 것이라는게 감사실의 설명입니다.
공단 내부의 보안담당부서가 허술하게 운영되고 있다는 사실을 알게 된 감사실은 공단의 업무용 PC에 대해 전수 조사를 실시했고, 비인가 프로그램으로 분류되는 '토렌트'를 설치한 또 다른 PC가 발견되기도 했습니다.
우연한 기회에 이 같은 보안 구멍이 발견되지 않았더라면 어떤 일이 벌어졌을지 아찔합니다. 한 보안 소프트웨어업체 관계자는 "인터넷 연결을 통한 외부로부터의 감염을 막기 위해 공공기관들은 망분리를 해왔고, 국민연금 역시 마찬가지인 상황이지만 이 같은 우회적 인터넷 연결을 가능하게 하는 프로그램을 설치할 수 있도록 열어두면 사실상 외부의 공격에 그대로 노출되는 의미가 없는 작업"이라고 지적했다. 2200만 국민연금 가입자의 개인 정보가 해킹과 악성코드 감염에 쉽게 노출될 수 있는 위태로운 상황이라는 것입니다.
국민연금이 근 1년간 많은 논란을 사왔고, 지금도 많은 혼돈을 겪고 있다는 사실을 온 국민이 알고 있습니다. 하지만 그것과는 별개로 반드시 지켜야 할 기본은 해야 한다는 데 이견은 없을 것입니다. 국민연금 조기 고갈론이 불거질때마다, 혹은 국민이 일임한 노후 자금을 자신의 무기로 휘둘렀던 것에 국민들은 충분히 불안감을 느끼고 있습니다. 수천만 개인정보를 한데 모아 관리하는 기관인만큼 정보 보안에 주력해 기본적인 책임을 다해주길 바랍니다.