[홈네트워크①] 과기정통부·KISA, 월패드 제조사에만 특혜 주다 덜미?

[천지일보=손지하 기자] 정부가 공동주택 세대 간 망분리 기술에 ‘암호화’ 포함 여부를 원점에서 재검토한다. 기술적인 관점에서도 이를 망분리 기술로 인정할 수 없다는 의견이 지배적이지만 특정 업계를 우대하기 위해 ‘보안 우려’를 외면한 채 사업을 강행하려고 했다는 의혹도 함께 제기되고 있다.

지난해 11월 아파트 월패드(wallpad, 주택 관리용 단말기) 해킹으로 입주민 사생활 영상이 다크웹에 공개되는 등 논란이 일자 정부는 기술기준 고시를 개정해 ‘세대 간 망분리’를 의무화한 법적 기준을 마련한 바 있다. 해커가 월패드를 해킹해 카메라로 집안 내부를 촬영할 수 있고 잠금 설정이나 냉난방을 조종할 수 있다는 게 알려지면서다. 당시 단지 내 인터넷이 세대 간 구분 없이 하나의 단일망으로 연결돼 있어 한 집이 뚫리면 모든 세대가 해킹당하는 약점이 있었고 망분리는 이에 대한 대책으로 나왔다.

같은해 12월 31일 개정된 ‘지능형 홈네트워크 설치·기술기준’ 고시 핵심은 망분리를 의무화한 제14조 제2항이다. 주요 내용은 ▲물리적·논리적 방법으로 세대별 홈네트워크 망분리 ▲홈네트워크 장비에 대한 기밀성·인증·접근통제 등 보안 요구사항 충족 ▲정보통신망법에 따라 정보보호 인증을 받은 기기 설치 등이다.

한국인터넷진흥원(KISA)은 고시된 보안 규정을 보완해 올해 말 ‘홈네트워크 보안가이드’를 발표할 예정이다.

◆“암호화만으론 해킹 못 막아”… 원점 재검토 이유

28일 관련 업계에 따르면 과학기술정보통신부(과기정통부)와 KISA는 홈네트워크 보안가이드의 공동주택 세대 간 망분리 기술을 재선정하기 위한 전문가 의견 수렴에 착수한다.

홈네트워크 가이드라인 수립은 7월 시행된 ‘지능형 홈네트워크 설비의 설치 및 기술기준 일부개정(안)’ 후속 조치다. 개정안은 새로 짓는 공동주택의 세대 간 홈네트워크 망분리를 의무화한 것이 골자다. 보안가이드에는 개정안을 근거로 한 망분리 구현 기술 관련 지침 등이 담긴다.

KISA는 초안에서 논리적 망분리 기술로 ▲IP시큐리티(IPSEC) 가상사설망(VPN)을 이용한 기술 ▲시큐어소켓레이어(SSL) VPN을 이용한 기술 ▲가상근거리통신망(VLAN)을 이용한 기술 ▲암호화 기술을 제시했다. 네 가지 기술 중 하나만 활용해도 망분리를 구현한 것으로 인정한다는 의미다.

이후 암호화를 망분리 기술로 볼 수 있느냐를 두고 논란이 확산했다. 공동주택 관리 서버와 각 세대를 네트워크 암호화를 통해 완전히 분리할 수 없다는 의견이 우세했다.

과기정통부와 KISA는 전문가 의견은 물론 학술적 근거, 해외 사례 등 광범위한 검토 작업을 진행할 계획이다. 보안가이드가 사실상 공동주택 시공 필수 지침으로 작용하는 만큼 명확한 근거를 확보해 최종 결정을 내린다는 방침이다.

◆특정 기업에만 ‘개정안 초안’ 공유하기도

앞서 과기정통부와 KISA는 암호화 기술에 대한 업계의 이견이 있는데도 보안가이드 개정 과정에서 공청회나 토론회 개최를 하지 않고 강행한 바 있다. 대외적 행사는 설명회인데 말 그대로 개정에 관한 내용을 설명하는 수준에 그쳤다.

비공개로 회의를 열기도 했는데 이 과정에서 월패드 제조사에만 개정안 초안을 공유한 반면 다른 기업에는 공유하지 않았던 사실도 드러났다.

본지가 더불어민주당 박찬대 의원실을 통해 과기정통부로부터 제출받은 자료에 따르면 KISA는 “‘홈네트워크 보안가이드’ 개정안 ‘0.9.2 버전(8월 30일)’은 홈네트워크 보안가이드 개정을 위한 용역 수행사와 내부 검토 중인 자료로 별도로 외부에 배포하지 않았다”고 주장했다. 또 “가이드 1차 설명회 배포(6월 29일, Draft)를 제외하고 0.9.2 이전 버전은 배포하지 않았다”고 덧붙였다.

하지만 0.9.2 이전 버전이 존재하며 특정 기업들(월패드 제조사)에만 공유됐다는 제보가 잇따랐다. KISA는 월패드 제조사에 특혜를 준 것이 아니라 그간 소외된 부분이 있어서 조금 챙겨줬을 뿐이라는 입장이지만 해당 버전을 공유받지 못한 기업, 기관에서는 차별 대우를 받았다는 불만이 나오고 있다.

더욱이 과기정통부에서 고시 개정 과정 중 월패드 제조사와 여러 차례 만난 사실이 확인되는 등 월패드 제조사들이 고시 및 이를 해설하기 위한 성격의 가이드 개정 과정에서 소외됐다는 주장은 설득력을 얻기 힘들어 보인다.

업계에 따르면 ‘암호화’를 망분리 기술로 인정하게 되면 홈네트워크 보안 시장을 점유하고 있던 월패드 제조사들이 기술적으로 큰 노력을 들이지 않고도 그대로 시장을 가져갈 가능성이 크다.

반면 그 반대의 경우로 암호화를 망분리 기술로 인정하지 않은 채 시장이 형성되면 사업 규모가 커질 뿐만 아니라 기존 월패드 제조사에 더해 한드림넷, 라온, 시옷, 센스톤 등 많은 보안 기업이 참여할 수 있게 된다.

때문에 암호화를 망분리 기술로 포함하려는 과기정통부와 KISA의 움직임에 보안 업계 일각에서는 이들 정부와 월패드 제조사 간 유착 의혹을 제기하기도 했다.

◆국감서도 기술 해석 두고 “무리” 지적 나와

국정감사에서도 정부가 망분리와 암호화 개념에 대해 무리한 해석을 적용하고 있다는 지적이 제기됐다.

이달 11일 열린 과기정통부 ICT 산하기관 국정감사에서 국민의힘 허은아 의원은 “데이터 암호화와 논리적 망분리가 동일하다고 주장하는 것은 수박과 호박을 따로 담으라고 했더니 호박에 줄 그으면 수박 되니까 같이 둬도 상관없다는 것”이라며 “왜 무리한 해석을 시도하는지 의문”이라고 지적했다.

허 의원은 “지난해 과기정통부가 한국정보통신기술사회로부터 회신받은 내용은 암호화만으로는 논리적 망분리가 가능하지 않다는 것”이라며 “과기정통부와 KISA에서는 논리적 망분리와 데이터 암호화가 정말 동일하다고 보고 있는 것이냐”고 반문했다.

그러면서 “앞서 발표된 정부 고시는 논리적 망분리 방법으로 가상사설통신망(VPN), 가상근거리통신망(VLAN), 암호화 기술 등을 제시하고 있다”며 “그러나 가이드라인 초안에서는 암호화 기술을 활용해 논리적 망분리를 구현하는 것이 아닌 단순 처리되는 데이터를 암호화하는 것을 논리적 망분리로 보고 있다”고 말했다.

그는 “이 같은 시도에 대해 현재 우려의 목소리가 나오는 상황”이라며 “국민 안전을 책임져야 하는 정부 입장에서 왜 무리한 해석을 시도하는지 납득할 수 없다”고 강조했다. 이와 함께 허 의원은 외부 압력 의혹도 제기했다.