지난 2003년 ‘전자정부 인터넷민원서비스(G4C)’ 시스템 구축시 출력전 위·변조 가능성에 대한 기술검토와 보안위협요소에 대한 대응이 소홀했던 것으로 드러났다. 또 당시 본지와 보안전문가들로부터 제기된 G4C문서 위·변조 위험성에 대한 사후 보완조치도 소극적이었다는 지적이다. 특히 G4C시스템 구축사업 추진과정에서 감리업무를 전담한 한국전산원의 감리업무 관리·감독에도 문제점이 노출됐다.
행정자치부는 지난해 9월 국정감사에서 G4C 발급문서 위·변조 가능성 등 문제가 제기됨에 따라 작년 9월말부터 3개월여간 실시한 자체감사 결과를 이같이 발표하고, 시스템 구축과 사후관리 과정에서 업무를 소홀히 한 관련공무원에 대해 엄중 경고조치했다고 7일 밝혔다.
이날 공개된 감사결과에 따르면 G4C 첫 구축 시점인 2003년 당시 제안요청서 등에 대한 기술검토를 할 때 사후확인열람시스템 구축 등 사후확인 위주로 시스템을 계획해 사업자를 선정하면서 보안성 평가항목이 소홀하게 다뤄졌다.
시스템 설계·구축과정에서도 민원서류 발급과정에 민원인 컴퓨터에 의한 서류 위·변조 가능성에 대해 적극적인 대처방안을 강구하지 못했다.
특히 행자부는 2003년 10월 전자신문이 “프린터로 출력되는 단계에서 임시로 생성되는 파일(Spool file)을 가로채 위·변조 할 수 있다”는 문제점을 이미 지적했으나 이에 적절히 대처하지 못했다고 분석했다.
김선대 행자부 조사팀장은 “당시 전자신문의 지적에 따라 인쇄임시파일 접근차단이나 화면상 복사방지 등의 보안기법을 적용해 출력단계에서의 위·변조 문제는 해결했으나, 출력 이전 단계를 포함한 모든 단계에 대한 보완까지는 이르지 못한 것으로 조사됐다”고 말했다.
같은해 12월에도 보안전문가가 사업추진 실무진에게 “PC내에서도 위·변조 가능성이 있다”는 문제점을 제기했으나, 이에 대한 보안조치 역시 제대로 시행되지 않았다고 김 팀장은 밝혔다.
이번 감사에서는 한국전산원의 부실 감리도 지적됐다. G4C사업의 감리 전담기관인 전산원은 구체적 운영기준 없이 현장실사를 수행, 감리인 미참여 등의 부실을 미연에 방지하지 못했다. 실제로 G4C시스템의 구축 위탁감리를 맡은 A사는 감리인 5명중 응용시스템분야를 담당하는 1명이 실제 감리에 참여하지 않았는데도 마치 감리를 한 것처럼 전산원과 행자부에 허위보고한 사실이 이번 감사에서 드러났다.
행자부는 이번 감사결과에 따라 관련 공무원 3명을 경고조치했다. 또 위탁감리를 관련 규정에 따라 성실히 이행하지 않은 민간 감리업체에 대해서는 ‘부정당업자 제재’ 등의 책임을 묻고, 전산원에 대해서는 위탁감리인에 대한 관리·감독 제도를 보완토록 정통부에 요구했다.
이번 감사에는 행자부 자체감사요원 외에 정통부 산하 정보보호진흥원 등 보안전문가 3명과 자문교수 2명이 참여했다. 감리분야 감사를 위해서는 정통부와 합동으로 전산원의 감리업무 수행에 대한 추가감사를 실시했다. 특히 합동감사 결과의 객관성 제고를 위해 감사원의 확인검토를 거쳐 최종 감사결과를 발표하게 됐다고 행자부는 설명했다.
한편 지난해 9월 제기된 민원서류 위·변조 문제와 관련, 감사기간 중 행자부와 자치단체 등을 통해 피해사례 신고를 제출토록 했으나 실제 신고된 사례는 한 건도 없었던 것으로 나타났다. 행자부는 지난해 국정감사에서 문제제기 직후 전자문서의 이중암호화 등 보안취약요인에 대한 보완조치를 취해 작년 11월부터 G4C시스템을 정상운용중이다.
류경동기자@전자신문, ninano@
관련 통계자료 다운로드 감사 추진경과