게시판 즐겨찾기
편집
드래그 앤 드롭으로
즐겨찾기 아이콘 위치 수정이 가능합니다.
심재철이 정말 우연히 비인가 자료에 접근할 수 있었는지도 조사해야 합니다
게시물ID : sisa_1113429짧은주소 복사하기
작성자 : 사과농장주
추천 : 130
조회수 : 2450회
댓글수 : 8개
등록시간 : 2018/09/29 01:52:44
신문 기사에 의하면 심재철 의원실 직원이 한국재정정보원의 재정분석시스템에 정상적으로 로그인하였고, 정보 검색 중에 백스페이스 키를 눌렀더니 비인가 자료의 팝업 창이 떠서 다운로드 받았다고 합니다...

그런데 IT업계 종사자 입장에서 볼 때는... 신문에 보도된 바와 같이 우연하게 비인가 자료 접근을 하게 되었다기 보다는, 재정분석시스템 개발업체 등이 만들어 놓은 백도어(back door)에 대한 정보를 받아서 접근하였다는 것이 더 가능성이 높아 보입니다.

정부 및 공공기관에서 사용하는 IT 시스템을 개발할 때, 해당 사업을 수주한 개발업체 마음대로 개발하는 것이 아니라 행정자치부에서 작성한 330 페이지에 달하는 "정보시스템 SW 개발보안 가이드"를 준수해서 개발해야 합니다.
http://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000015&nttId=57473

또한 모든 공공 IT시스템의 요구사항 목록에 포함되는 보안 요구사항들의 충족여부를 검수 단계에서 확인합니다. 한국재정정보원의 재정분석시스템은 2017년 6월부터 12월말까지 고도화 개발 사업이 진행되었는데, 10개의 보안요구사항이 포함되어 있었습니다(아래 입찰공고 링크 참조).
http://www.g2b.go.kr:8081/ep/invitation/publish/bidInfoDtl.do?bidno=20170509229&bidseq=00&releaseYn=Y&taskClCd=1

뿐만 아니라 재정분석시스템은 매우 중요한 시스템이기 때문에 고도화 개발 사업과는 별개로 해당 사업에 대한 감리 사업이 별도로 진행되었습니다. 고도화 개발을 하는 개발업체가 요구사항에 맞게 잘 개발하고 있는지를 다른 회사가 지속적으로 확인하도록 한 것입니다. 이렇게까지 한다면 개발업체가 실수를 할 가능성은 매우 낮아집니다(아래 입찰공고 링크 참조).
http://www.g2b.go.kr:8081/ep/invitation/publish/bidInfoDtl.do?bidno=20170505983&bidseq=00&releaseYn=Y&taskClCd=1

그리고 재정분석시스템은 국회 및 중앙부처 공무원 1,300명이 사용하는 시스템인데도 다른 사용자들은 "우연히" 비인가 자료에 접근한 적이 없었습니다(공무원은 이런 문제점을 발견하면 바로 관리부서에 알렸을 것입니다. 비인가 자료에 접근하면 파면될 수도 있으므로).

그렇기 때문에 심재철 의원실 직원이 우연히 비인가 자료에 접근하게 되었을 가능성보다는, 개발업체 등이 몰래 만들어 놓은 백도어에 대한 사용 방법을 입수해서 이용했을 가능성이 더 높을 듯 합니다.

어제 기재부에서 심재철 의원을 고발했으니 앞으로 검찰 조사가 진행될텐데, 그 때 이러한 문제도 함께 확인되어야 하겠습니다.
출처 관련 신문기사(오마이뉴스 주의): http://www.ohmynews.com/NWS_Web/View/at_pg.aspx?CNTN_CD=A0002475500
한국재정연구원 입찰정보 게시판: http://www.kpfis.or.kr/lay1/bbs/S1T8C27/A/18/list.do
행정자치부 소프트웨어 개발보안 가이드: http://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000015&nttId=57473
전체 추천리스트 보기
새로운 댓글이 없습니다.
새로운 댓글 확인하기
글쓰기
◀뒤로가기
PC버전
맨위로▲
공지 운영 자료창고 청소년보호