제67회 뉴스부문_지하철 종합관제시스템 해킹 취약_MBC 남재현 기자

“에이, 설마…”

취재는 단순한 궁금증에서 시작됐습니다. 모두 개인정보 유출에 집중하고 있는 상황이었습니다. 그런데 해킹으로 금융권이나 정보통신회사가 뚫릴 정도라면 “과연 국가기반시설들은 얼마나 안전할까”란 궁금증이 생겼습니다. 우선 전문가들을 상대로 사전취재에 들어갔습니다. 하지만 어느 곳에서도 명확한 답을 내 놓지 못했습니다.

“취약하다고 하더라” 수준의 정보가 대부분이었습니다. 취약한데 무엇이 얼마나, 어떻게 취약한 것인지, 알 수 있는 방법은 거의 없었습니다. 이런 와중에 정부가 3년 전부터 주요국가기반시설을 상대로 매년 보안점검을 하고 있다는 사실을 알게 됐습니다. 각 기관의 보안 취약점을 파악해 보고를 받고 있었던 겁니다.

모두 292개 시설. 철도·공항·발전소 등 핵심 국가기반시설이 모두 포함돼 있었습니다. 하지만 취약점 분석 결과는 국정원과 미래부, 해당기관만이 갖고 있는 대외비 사항이었습니다. 한번쯤 세부내용을 파악할 필요가 있다고 생각했습니다. 한번 사고가 나면 수 백 만명의 안전이 위협받을 수 있는 기관들이기 때문이었습니다.

비공개만을 외친 ‘정보공개’
취재가 생각만큼 쉽진 않았습니다. 맨 처음 주요 기관에 정보공개를 청구했습니다. 뿔뿔이 흩어져 있는 기관의 정보를 취합하는 데 가장 효과적이라고 생각했습니다. 하지만 번번이 돌아오는 대답은 ‘비공개’였습니다. ‘대외비’이기 때문에 알려줄 수 없다는 게 요지였습니다. 한편에선 대통령까지 나서서 정부가 갖고 있는 민감한 정보를 모두 공개해 국민들이 판단할 수 있게끔 하겠다고 했지만 결국 ‘비공개’ 뿐이었습니다. 시간은 그렇게 한 달 가까이 흘러갔습니다.

한 두 기관만이라도 내용을 파악하는 게 우선이었습니다. 취재대상을 지하철로 좁혔습니다. 평소 알고 지내던 취재원 들을 상대로 사전취재를 시작했습니다. 지하철 관계자와 정보보안 전문가 등을 두루 만났습니다. 그 과정에서 우연히 ‘서울메트로 보안취약점 분석 결과’ 내부보고서를 입수할 수 있었습니다.

분석이 필요했습니다. 모두 50쪽 분량으로 된 내부보고서는 전문용어와 개념도로 가득했습니다. 개괄적인 내용을 파악하고 팩트를 다시 한번 확인해 줄 전문가가 필요했습니다. 수소문 끝에 보안취약점 분석을 전문으로 하는 KAIST연구진을 찾을 수 있었고 비공개로 분석에 들어갔습니다. 더불어 당시 점검에 직간접적으로 참여했던 전문가들과 접촉했습니다.

굳게 닫혀만 있는 국가주요기반시설
문제는 심각했습니다. 단순한 해킹도 막을 수 없는 상태. 기본적인 방화벽이나 침입방지시스템 조차 갖춰져 있지 않았습니다. 디도스 공격은 물론 원격조정이 가능한 스푸핑 공격에도 취약했습니다. 공용계정을 쓰고 있다보니 시스템에 누가 들어오고 나가는 지도 파악이 안되는 상황이었습니다. 핵심 서버의 비밀번호는 숫자 4자리밖에 입력되지 않아 국가 기반시설이 맞는 지 의구심이 들 정도였습니다.

이미 관련 설비는 20년 가까이 노후돼 있었고 해당기관 역시 여러 취약점이 있다는 사실을 알고 있었습니다. 전문가들은 “100점 만점에 10점도 주기 힘든 상태”라고 입을 모았습니다. 내부적으로 453가지 점검한 결과 20%에 해당하는 93가지가 문제가 있다고 지적된 상황이었습니다. 지적된 사항들을 직접 확인하기 위해 현장취재를 시도했지만 국가보안시설이라 공개가 불가능하다는 답변이 돌아왔습니다.

카메라 기자나 저나 문전박대를 당하며 서울메트로 앞에서 헛웃음만 짓고 있었습니다. 하지만 과연 어느 정도까지 해킹에 가능한 지 좀 더 상세히 보려면 내부에서 쓰고 있는 프로그램명부터 버전까지 모두 알 필요가 있었습니다. 전문가까지 데리고 와서 지하철 종합관제소에 여러번 찾아가 설득했지만 현장 취재는 거부당했습니다. 현장 취재가 막힌 뒤 A4 2장 분량의 공개질의서도 보냈지만 또 다시 “보안사항이라 이야기 해 줄 수 없다”는 대답만 반복될 뿐이었습니다.

대외비문건 첫 공개, 하지만.
결국 시간과 취재력의 한계로 내부보고서를 보도하는 데 그쳤습니다. 성과라면 국가주요 기반시설이 해킹에 취약하다는 구체적 증거와 문건이 사실상 처음 공개됐다는 겁니다. 이미 미국이나 일본, 이란의 경우에는 핵발전소 같은 주요 핵심기반시설이 해킹으로 인해 마비가 되는 사태가 자주 벌어지고 있습니다. 미약하지만 이번 보도가 다양한 후속보도가 나올 수 있는 단초를 제공했기를 기대합니다.

특히 문전박대를 당하는 곳에 어김없이 함께 있었던 영상취재 기자, 정우영 선배께 다시 한번 감사드립니다.