객관적 제정 목소리 나왔지만
기술적 논란 많은 현 방식 채택
특정 기업 특혜 파문 일기도 해
“특정 기술 적시 말아야 바람직”
KISA ‘비공개’ 토론회 개최 예정
허은아 “투명히 진행되게 할 것”
[천지일보=손지하 기자] 정부가 공동주택 세대 간 망분리 기술에 ‘암호화’ 포함 여부를 원점에서 재검토하기로 했지만 이 과정이 투명하게 공개될지 주목된다. 업계에서는 여전히 과학기술정보통신부와 한국인터넷진흥원(KISA)이 월패드(wallpad, 주택 관리용 단말기) 제조사들을 우대하기 위해 무리한 절차를 밟고 있다고 보고 있다.
지난해 11월 아파트 월패드 해킹으로 입주민 사생활 영상이 다크웹에 공개되는 등 논란이 일자 정부는 기술기준 고시를 개정해 ‘세대 간 망분리’를 의무화한 법적 기준을 마련한 바 있다. 해커가 월패드를 해킹해 카메라로 집안 내부를 촬영할 수 있고 잠금 설정이나 냉난방을 조종할 수 있다는 게 알려지면서다. 당시 단지 내 인터넷이 세대 간 구분 없이 하나의 단일망으로 연결돼 있어 한 집이 뚫리면 모든 세대가 해킹당하는 약점이 있었고 망분리는 이에 대한 대책으로 나왔다.
KISA는 초안에서 논리적 망분리 기술로 ▲IP시큐리티(IPSEC) 가상사설망(VPN)을 이용한 기술 ▲시큐어소켓레이어(SSL) VPN을 이용한 기술 ▲가상근거리통신망(VLAN)을 이용한 기술 ▲암호화 기술을 제시했다. 네 가지 기술 중 하나만 활용해도 망분리를 구현한 것으로 인정한다는 의미다.
이후 암호화를 망분리 기술로 볼 수 있느냐를 두고 논란이 확산했다. 공동주택 관리 서버와 각 세대를 네트워크 암호화를 통해 완전히 분리할 수 없다는 의견이 우세했다. <[홈네트워크①] 과기정통부·KISA, 월패드 제조사에만 특혜 주다 덜미?>
홈네트워크 보안가이드 개정 과정에서 정보통신기술자들은 명료하게 기술적 판단이 가능하도록 체크리스트 기반의 객관적 가이드 제정이 필요하다고 주장한 바 있다.
ICT 시스템 설계를 전문으로 수행하는 정보통신기술사 A씨는 “특정 기술에 대한 요구사항을 나열하는 식으로 가이드를 마련할 것이 아니라 국가용 보안요구사항처럼 기술적, 기능적 충족 여부를 확인하는 체크리스트 방식으로의 개정을 건의했으나 묵살당했다”고 주장했다.
예를 들어 물리적-논리적 망분리 구현의 경우 특정 기술들을 적용하라고 하는 게 아니라 한 세대에서 다른 세대의 홈네트워크 접근을 제한토록 요구하고 이에 대해 감리원이 사용 전 검사 때 확인하는 체크리스트 방식으로 보안가이드를 구성해야 한다는 것이다.
하지만 KISA가 이 같은 의견을 불수용하고 현재 방식을 추진하면서 기술적 특혜 내지는 특정 기업 특혜 논란이 불거지게 됐다고 비판했다.
A씨는 “세대 간 홈네트워크 접근 제한이 구현되는지를 체크한다면 당연히 암호화 통신 만으로는 이를 충족할 수가 없다”며 “따라서 VPN, VLAN이나 제3의 기술로 망분리를 구현할 수 있는 가능성이 상시 열리게 된다”고 말했다.
현행 보안가이드에서는 이른바 몇 가지 기술들을 나열하는 방식이어서 새로운 기술이 등장하더라도 현장 감리원들이 해당 기술을 인정하기 어려운 구조라고도 덧붙였다.
전(前) KISA 고위 관계자 B씨도 같은 의견을 제시했다. B씨는 “암호화는 데이터 유출을 방지하기 위한 기술에 불과하지 망분리라고 할 수 없다”며 “망분리에 요소 기술 중 하나로 쓰일 수만 있다. 암호화만 해도 된다는 말은 홈네트워크 사업자에게 면죄부를 주는 것과 같다. 보안 사고가 발생해도 (그들에게) 책임이 없는 것”이라고 짚었다.
그러면서 “홈네트워크 보안이라는 건 다양한 보안 기술로 막아야 하는 것”이라며 “KISA가 특정 기술 중 하나를 인정하는 형태로 이걸 진행하는 건 너무 서두르는 행위 같다”고 지적했다.
이어 “세상은 변하는데 기존 시장을 이끌어온 사업자들이 같은 기술로만 해킹을 막으면 발전이 없다. 융합보안을 부르짖으면서 새로운 솔루션이나 서비스를 육성할 생각은 왜 하지 않는지 모르겠다”며 “향후 보안 기술을 계속 발전시키고자 한다면 특정 기술만 적시하면 안 된다”고 진단했다.
또 “다양한 기술을 새로 만들고 기술 간 조합을 통해 보안을 고도화하게 만드는 게 정부의 역할이다. 모든 기술을 열어두고 망분리를 실현할 수 있는 기술을 만들라고 해야지 언제까지 ‘암호화만 하면 된다’고 할 거냐”며 “기존 기업은 고착화된 솔루션을 갖고 있고 신흥 기업은 새 솔루션을 만들어냈다고 볼 수 있다. 때문에 이 둘 간 싸움이기도 하다. 그런데 정부는 기존 기업(월패드 제조사)과 뭔가(유착)가 있는 거 같다”고 조심스럽게 말했다.
올해 국정감사장에서도 같은 지적이 잇따라 나오자 과기정통부와 KISA는 “전문가 의견은 물론 학술적 근거, 해외 사례 등 광범위한 검토 작업을 진행하겠다”며 당초 강행하려던 계획을 철회했다. 보안가이드가 사실상 공동주택 시공 필수 지침으로 작용하는 만큼 명확한 근거를 확보해 최종 결정을 내린다는 방침이다.
월패드 제조사와만 개정안 초안을 공유하는 등 불공정 논란이 있던 만큼 공개 토론회를 열 것으로 예상되기도 했으나 KISA 측은 이번에 비공개 토론회를 열겠다는 입장을 밝혔다. 토론회 일시, 참가 기업·전문가 명단 등이 전부 비공개다. 비공개 토론회 이후 설명회를 진행할 수도 있다는 여지만 남겼다.
때문에 이 과정에서 투명성이 어떻게 입증될지 주목된다. 앞서 국감장에서 기술적 허점을 지적한 국민의힘 허은아 의원은 KISA의 이번 입장과 관련해 “토론회 등 관련 사항이 투명하게 진행될 수 있도록 확인하겠다”고 전했다.
