검색내역 외부유출 가능성 있어 보안업체 "해킹 위험성 배제 못해" 당국 "지난해에도 실시, 문제 없어"
수능 오류 방지를 위해 교육부가 내놓은 인터넷 검색 활용 방안이 수능 출제 정보 유출의 창구가 될 수 있다는 우려가 제기됐다. 문제가 직접 유출될 가능성은 없지만, 외부로 전송되는 검색어를 통해 관련 정보가 새나갈 여지는 있다는 것이다. 낮은 확률이지만 발생할 경우 큰 사회적 파장이 예상되므로 검색의 필요성과 보안 대책 등에 대한 전반적 재검토가 필요하다는 의견도 제시됐다.
한국교육신문이 SK인포섹, 이글루시큐리티, 링네트 등 인터넷 보안기업 3곳에 문의한 결과 "인터넷에 접속되는 순간 100% 안전을 장담할 수 없다"는 공통된 답변이 돌아왔다. 이들은 "철저한 보안관리가 예상되므로 쉽게 해킹될 것으로 보진 않는다"면서도 "얼마든지 다양한 경로로 유출될 가능성을 배제할 수 없다"고 강조했다. 수능 관련 정보는 거대한 이권으로 연결될 수 있으므로 조직적·악의적 해킹 시도가 있을 수 있다는 데도 동의했다.
교육부와 한국교육과정평가원이 제시한 △데이터가 저장되지 않은 검색 전용 PC 사용 △보안요원 확충을 통한 1대1 실시간 감시 △메일 전송 제한 △USB장착 금지 등 보안 방안에 대해서도 미흡하다는 입장을 보였다.
전문가들이 제시한 위협 요소는 다양하다. 첫 번째는 인터넷 망에 대한 물리적 접근 가능성이다. 이 경우 출제단의 검색 내용에 대한 실시간 감청이 가능하다. 해킹 대상이 PC내부에 저장된 데이터가 아니라 외부로 전송되는 검색어여서 방화벽도 별 의미가 없다.
출제본부 위치나 IP 등에 대한 철저한 보안이 이뤄진다면 위험성을 크게 줄일 수 있다. 그러나 출제단이 700명 이상의 대규모인데다 위치가 노출된 전례도 있어 장담하긴 어렵다.
전용망 개설 등을 통해 안전성을 높이는 대안이 있긴 하다. 그러나 구조상 ISP(Internet Service Provider·인터넷 접속 서비스 제공 기업)에서는 전송되는 데이터를 감청할 수 있고, 관계사 직원의 개인적 일탈에 의해서도 유출이 가능하기 때문에 확실한 대안으로 보긴 어렵다는 게 중론이다.
웹사이트에 잠복해 있던 악성코드 감염에 의한 해킹 우려도 나온다. 유명 검색사이트는 신뢰할 수 있더라도 검색결과에 나오는 사이트의 안전성은 보장할 수 없기 때문이다. 보안프로그램으로 대부분 방어가 가능하긴 하지만, 최신 바이러스까지 다 차단하기는 어렵다는 게 공통된 의견이다. 이 경우 해당 PC의 인터넷 접속 기록 등이 순식간에 유출될 수 있을 뿐 아니라, 같은 네트워크에 접속돼 있는 다른 PC도 위협을 받게 된다. 이글루시큐리티 관계자는 "특정 사이트 접속만으로도 악성코드에 감염되는 예는 굳이 설명이 필요 없을 정도로 빈번한 일"이라고 설명했다.
이러한 위험성은 공공기관 등 검증된 사이트를 이용하더라도 완전히 배제할 수 없다. 활용 빈도가 높을 것으로 예상되는 사이트에 미리 숨어 있다가 접근을 시도하는 해킹 방식도 있기 때문이다.
이밖에도 공모를 통해 출제자가 실수로 오타를 낸 척 속이고 고의로 약속돼 있던 사이트에 접속해 자료를 유출시키는 수법이나, 금융사기에 많이 쓰이는 스푸핑(spoofing·임의로 웹사이트를 만들어 방문을 유도해 정보를 빼가는 해킹) 등도 위협 요소로 꼽혔다.
김태형 SK인포섹 전략해킹팀장은 “인터넷 접속 자체를 하지 말 것을 강하게 권하고 싶다"고 전제한 뒤 “그럼에도 꼭 써야만 한다면, 반드시 전용망과 최신 보안시스템을 설치하고 검증된 사이트만 접속하도록 제한해야 할 뿐 아니라 완벽한 인적통제도 이뤄져야 할 것”이라고 말했다. 이어 "전문가가 동원되더라도 해킹 여부를 실시간으로 파악하긴 힘들다"며 "사용 후 엄밀한 로그분석 등을 통해 해킹여부를 조사할 필요가 있다"고 덧붙였다.
이 같은 지적에 대해 교육부 관계자는 "출제 과정에서 수많은 검색이 이뤄지기 때문에 설령 검색어가 유출되더라도 문제를 특정하기는 사실상 불가능할 것"이라고 선을 그었다. 이어 "최근에 일어난 문제 오류 2건 모두 최신정보를 파악하지 못해 발생했다는 점에서 인터넷 검색 활용은 반드시 필요하다"고 강조했다. 그러면서도 "그동안 평가원이 잘 관리해온 터라 전문적 보안사항에 대해서는 미처 파악하지 못한 부분이 있다"며 "사소한 문제도 발생하지 않도록 전반적으로 검토해보겠다"는 입장을 내놨다.
평가원은 매우 조심스러운 반응을 보였다. 관계자는 "보안방안 자체가 보안사항이어서 자세한 설명은 어렵다"면서 "지난해도 검색을 허용했지만 문제가 없었고 올해도 우려하는 일은 벌어지지 않을 것"이라고 설명했다.
