[국민연금 1,000여건 해킹 당했다]뚫리면 2,000만 정보·국민노후 흔들리는데…보안에 구멍 숭숭

주민번호·주소부터 소득액·계좌까지 유출 가능성

연금 납부액 등 기업 정보에 602조 기금운용도 허점

지정학적 위기 속 北 EMP 공격땐 방어수단 없고

내부 직원 통제조차 허술…"보안 전문가 충원 시급"

가입자 수 2,166만9,215명(6월 말 기준). 연금 수급자 수만도 424만명이 넘는 국민연금 가입자의 개인정보와 602조원 기금운영 데이터가 해킹 공격에 무방비로 놓여 있다. 가뜩이나 한반도 지정학적 위기가 고조되며 북한의 전자기펄스(EMP) 공격 위협이 노골화되는 상황에서 북한의 해킹 공격도 실체하고 있는 것으로 나타나 경각심이 커지고 있다. 해킹 공격은 우리나라 인구 절반의 개인정보뿐 아니라 국민 노후자금을 한순간에 무너질 수도 있다는 우려를 커지게 한다.

국민연금공단이 관리하는 개인정보에는 주민등록번호는 물론 월 소득액, 휴대폰·집전화 번호, 주소, 개인 계좌번호, 세대 구성원, 과세소득 내역 등 이 모두 들어 있다. 여기에 공단은 미가입자의 경우에 필요한 개인정보를 확보할 수 있는 법적인 권리도 있다. 실제로 관리하고 있는 개인정보는 규모는 2,600만명을 넘을 것으로 추산된다.

해킹 공격이 이보다 더 우려되는 이유는 기업정보가 유출될 수 있다는 점이다. 국민연금은 국내 공공기관 중 기업정보를 가장 방대하게 보유하고 있다. 국민연금법상 1인 이상 고용하고 있는 사업장은 의무적으로 국민연금에 가입하고 있다. 해킹 대상에 따라 사업장 관리번호, 소재지, 연금 납부내역, 대표자 개인정보 등 국내 기업 대부분의 정보가 유출된다.

국민연금 해킹 시도로 가장 소스라치게 놀라는 부분은 602조원의 국민 노후자금을 관리하는 기금운용 부문이다. 지난 2월 기금운용 퇴직자 3명의 기밀 유출 사실이 국민연금을 발칵 뒤집어놓았던 만큼 해킹이 국민연금의 프로젝트 투자 자료 등 기금운용 관련 기밀정보를 노렸다면 인지하지 못하는 사이 기금운용의 허점이 노출됐을 수도 있다. 기금운용본부의 내부정보 보안 통제가 허술하다는 지적은 꾸준히 제기됐다. 2015년에도 일부 운용직원이 승인받지 않은 외부 메신저를 개인적인 용도로 사용하고 주식 시장 개장 중에 사용할 수 없도록 한 개인 휴대폰 사용제한 제도도 제대로 작동하지 않을 정도로 허술했다. 연초 민간 금융사로 이직하려던 기금운용본부 직원의 비밀정보 유출 건이 터져 논란이 된 바 있다.



이처럼 내부 통제도 부실한 상황에서 국민연금공단 자체의 서버해킹 공격이 해마다 늘어났다는 점은 가뜩이나 떨어진 국민연금의 신뢰도를 바닥으로 추락시킬 수도 있다. 기금운용본부가 해킹을 당할 경우 세계 3대 연기금으로 성장한 국민연금의 주식거래 정보나 투자 계획 등이 모두 유출될 수 있다. 특히 한반도의 지정학적 위기가 고조된 상황에서 북한이 해킹에 나설 경우 국민연금 투자 계획이 북한에 이용될 수도 있다. 북한뿐 아니라 주요 해킹을 시도한 공격 국가가 중국·미국·브라질·프랑스 등 전 대륙에 걸쳐 있다는 점에서 테러 세력이 국민 노후자금의 수익률에 타격을 가할 가능성도 배제할 수 없다. 국민연금공단이 윤종필 자유한국당 의원에게 제출한 자료에 따르면 지난해 북한의 소행으로 의심되는 해킹 공격이 실체하고 있다는 점에서 국민연금의 투자 수익에 북한이 직접 개입할 여지는 충분하다.

내부는 물론 외부에서도 공격을 당하고 있지만 국민연금의 관리는 여전히 허술하다는 게 전문가들의 평가다. 올해 5월 랜섬웨어의 무차별 공격으로 전 세계가 떠들썩했던 무렵 국민연금 전산팀은 비상이 걸렸다. 기간제 직원이 사내 PC에 ‘토르(Tor)’ 프로그램을 깔아놓고 빈번하게 이용해온 흔적이 발견했다. 토르는 전 세계에서 자발적으로 제공된 가상 컴퓨터와 네트워크를 여러 차례 경유해 이용자의 인터넷 접속 흔적을 추적할 수 없도록 하는 서비스다. 법적으로 차단된 사이트도 익명으로 방문할 수 있고 발신자를 밝히지 않은 채 데이터를 전송할 수 있어 네트워크 감시나 트래픽 분석, 위치 추적 등이 어렵다. 문제는 토르 브라우저는 대부분의 공공기관에서 허용하지 않는 비인가 프로그램이라는 점이다. 국민연금공단 역시 ‘정보보안업무예규’ 제25조 ‘PC 등 단말기 보안관리’ 등에 따라 인터넷과 연결된 상용 메신저, 웹하드, P2P 등 보안 취약 프로그램이나 비인가 프로그램의 사용을 금지하고 있지만 이 직원은 토르를 빈번히 이용했다. 공단 차원에 주기적인 정보관리가 이뤄지지 않은 셈이다. 북한과 테러 세력이 아니더라도 내부 직원이 외부 메신저를 이용해 해킹의 조력자가 될 가능성도 배제할 수 없다는 점에서 공단의 안일함은 비판의 대상이 됐다.

북한의 EMP 공격 위협에 대한 방지책도 사실상 없다. EMP 공격이 시작되면 국가 기간망인 금융·통신·원전 등 모든 산업 분야의 방호 체계가 무너지게 된다. 일반 개인의 대출 기록이 사라지는가 하면 평생 모아온 국민연금 기록조차 사라진다는 점에서 국민연금 기금운용본부의 보안통제 강화는 필수적이다. 윤 의원은 “해킹 기술이 나날이 발전하고 있는데 보안 시스템 취약점이 드러났다”며 “보안 전문가를 배치하는 등의 보안 시스템 보강이 시급하다”고 강조했다.

/송종호·서민준기자 joist1894@sedaily.com