정부에서 공공기관에 도입 중인 인터넷전화(VoIP)가 허술한 보안관리 때문에 도청이나 해킹 위험이 높은 것으로 나타났다.
1일 정부에 따르면 비용 절감을 위해 행정안전부가 주축이 돼 주요 부처와 지방자치단체들이 내부 전화를 VoIP로 바꾸고 있다. 그런데 VoIP는 인터넷 망을 이용해 음성을 데이터로 바꿔 전송하다 보니 해킹을 당할 가능성이 있다.
이를 막기 위해 정부는 각 인터넷전화기마다 음성을 암호화해 전송하는 방법을 쓰고 있다. 따라서 정부의 인터넷전화기와 교환기(PBX)는 최초 사용할 때 암호화 인증을 위한 암호값을 입력해 줘야 통화가 이뤄진다.
문제는 암호값 관리가 제대로 되지 않는다는 점이다. 행안부에 따르면 인터넷전화를 도입하는 기관이나 지자체 관계자들이 직접 행안부 산하 한국정보화진흥원에서 선정한 보안인증업체를 찾아가 발급비용을 내고 암호값이 들어있는 보안USB를 받아가도록 돼 있다.
하지만 여러 기관과 지자체들이 이 과정을 인터넷전화서비스 업체나 장비판매 업체에 심부름을 시키고 있다. 업계 관계자는 "일부 기관이나 지자체가 편의를 위해 업체들에게 기관 인감을 찍어주고 대신 받아오도록 하고 있다"며 "일부 기관은 전화기 1대당 500원, 교환기 1대당 10만원에 이르는 보안인증 발급비용까지 업체에 떠넘긴다"고 말했다.
이 과정에서 보안인증업체가 발급하는 수 많은 인터넷전화기의 암호값이 누구나 쉽게 복사할 수 있는 CD에 한꺼번에 저장돼 전달되거나 심지어 이메일로 발송된다. 정부기관을 대신해 받아가는 업체들은 수십 대에서 수백 대에 이르는 전화기나 교환기 암호값을 개별 USB에 담아 전달하면 번거로워 한꺼번에 CD나 이메일로 받아 전달하고 있다.
그만큼 수 많은 공무원들의 암호값이 손쉽게 유출될 가능성이 높은 셈이다. 보안업체 관계자는 "외부에서 암호를 알고 있다면 해킹 프로그램을 이용해 공공 기관용 인터넷전화망에 접속할 경우 공무원들의 통화 내용을 도청할 위험이 있다"고 지적했다.
하지만 행안부는 사태의 심각성을 모르고 있다. 행안부 관계자는 "CD로 전달한다는 얘기는 듣지 못했다"며 "국가정보원에서 정한 보안지침에 따라 암호값이 들어있는 보안USB를 사용해 암호화 조치를 하고 있어 안전하다"고 설명했다. 그러나 국정원의 '국가 공공기관 인터넷전화 보안가이드라인'에는 구체적 내용 없이 인증서(PKI)를 이용해 암호를 관리하라고만 돼 있다. 한마디로 기준 자체가 명확하지 않은 셈이다.
따라서 보안업계에서는 정부 인터넷전화의 도청 위험을 줄이려면 단순 암호입력이 아닌 정부가 따로 관리하는 보안인증시스템을 통해 인터넷전화 접속이 이뤄져야 한다는 지적이다. 업계 관계자는 "지금처럼 인터넷 암호표를 따로 갖고 있다가 암호를 입력하는 게 아니라 행안부에 별도의 인터넷전화용 보안인증시스템을 갖추고 전화를 걸면 자동으로 인터넷전화가 보안인증시스템에 접속되도록 해야 한다"고 강조했다. 이 관계자는 "인터넷전화기마다 전용 인터넷주소(맥어드레스)를 지정해 맥어드레스가 다른 경우 통화가 안 되도록 하고, 수시로 암호값도 갱신하는 시스템을 갖춰야 한다"고 덧붙였다.
최연진기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0