개인정보와 지적재산권, 빅데이터를 도둑질할 수 있는 마이크로칩이 서버에 붙어 각 국의 방어벽을 위협하고 있는 가운데 우리나라 전국민 건강보험 빅데이터의 핵심인 건보공단과 심사평가원 서버에도 마이크로칩이 탑재됐을 지 모른다는 우려가 국회에서 제기됐다.

국회 보건복지위원회 소속 자유한국당 김세연 의원은 오늘(19일) 오전부터 원주에서 열리고 있는 건보공단과 심사평가원 국정감사에서 중국 '슈퍼마이크로'사가 의도적으로 스파이용 마이크로칩을 서버에 부착해 확산시켜 국제적으로 타격을 주고 있는 문제를 지적했다. 이미 이 사태는 애플과 아마존 서버에도 이 마이크로칩이 부착됐단 의혹이 미국에서 나오고 있다.

지난 과기정통부 국정감사에서 산하기관 11곳에서 슈퍼마이크로사의 서버 731대를 쓰고 있는 것으로 파악됐고 심사평가원과 건보공단도 예외는 아니다. 관세청의 '최근 5년간 중국에서 제조한 슈퍼마이크로기업의 마더보드 및 서버 수입 현황' 자료에 따르면 문제의 마더보드와 서버는 총 49.8톤, 578만6719달러어치(약 65억7544만원)가 국내에 반입된 것으로 확인되고 있다.

건강보험공단에 슈퍼마이크로사 서버·마더보드 사용현황을 파악해본 결과 서버는 완제품 5대를 도입하는 것으로 나타나고 있다. 문제는 의원실 최초 요구 당시 개인정보 DB와 상관없는 서버 단 2대만 사용하고 있으며 마더보드의 경우 파악이 안된다고 답변을 보내왔지만, 재차 요청을 하자 5대의 완제품 서버를 사용하고 있다고 답변을 내놨다.

김 의원은 "마더보드(메인보드)의 경우 서버의 허브 역할을 하고 있는 통신장비 10대에 슈퍼마이크로사 마더보드가 설치됐다"며 "데이터 보안에 가장 민감해야 하는 건강보험공단에서 통신장비 제품사용에 대해 번복하는 등 제대로 현황파악이 안되고 있는 상황으로 제대로 된 전수조사가 꼭 필요하다"고 밝혔다.

심사평가원의 경우 슈퍼마이크로사의 23대의 완제품 서버를 도입했고, 개별 통신장비에 마더보드는 사용하지 않은 것으로 확인됐다. 각 서버의 용도중 내부망에 접근할 수 있는 서버는 17개 서버이며, 특히 8개의 서버는 환자들의 DB 접근로그 수집용 서버, 4개 서버는 서버 로그 수집용으로 나타나고 있다.

건보공단과 심평원에서는 의원실에서 자료를 요구할 때까지 슈퍼마이크로사 파문에 대해 전혀 인지하지 못하고 있었으며, 자료요구 전까지 상급기관에서 별도의 지시도 받지 못한 것으로 확인됐다는 게 김 의원의 설명이다.

KT 등 통신사와 대기업 등에서는 이미 현황파악에 들어갔으며, KAIST에서는 슈퍼마이크로사의 장비에 대해 15일 반품과 환불을 검토하고 있다고 알려졌다.

그러나 공단에서는 4대 보험 통합징수를 위해 부동산, 직장, 가족관계 등 약 3조4000억건의 국민들의 개인정보를 관리하고 있어 이러한 정보보안 문제에 가장 심각하게 대응해야 함에도 불구하고 인지조차 못하고 있는 상황이었다는 게 김 의원의 지적이다.

2011년 공단에 대한 북한의 직접적인 24차례 해킹시도가 있었으며, 2017년 전세계 150여 개국을 강타한 해킹 공격 이른바 '워너크라이(WannaCry) 랜섬웨어" 공격시 우리의 공단 격인 영국의 국민보건서비스(NHS)가 공격을 받아 서버가 마비가 된 적이 있다.

또한 연도별 공단에 대한 해킹의심 대응건수는 2015년에 줄었다가 2017년에는 2배 이상 증가한 상황에서 이렇게 중요한 문제에 대해서 넋 놓고 있는 공단의 정보보안 위기대응체계에 의심을 품을 수 밖에 없는 상황이다. 심평원에서는 약 1조900억건의 국민의 진료기록, 자동차보험 등 국민건강과 개인정보를 보유하고 있으며, 이러한 자료를 통해서 주요인사 등에 대한 건강상태 등 주요정보를 확인할 수 있다.

연도별 심평원의 해킹 의심 대응건수는 건강보험공단보다는 적지만 2017년도에 2배 이상 증가했다.

그러나 전산직 235명 중 정보보안과 관련하여 1명만 국가공인정보보호전문가 자격증을 보유하고 있고, 3명만이 정보보안과 관련한 학위자로 나타나고 있어 정보보안 위기대응이 가능할지 의심스러운 상황이다.

이에 대해 김 의원은 "공단과 심평원은 대한민국에서 가장 많은 국민의 개인정보자료를 보유하고 있으면서도, 타 공공기관과 민간기관에서도 발 빠른 대응을 하고 있는 일명 '스파이칩' 사태에 강건너 불구경 하듯이 아무런 조치를 취하지 않고 있었다"며 "국민의 소중한 정보를 지키기 위한 의지와 정보보안과 해킹 등에 위기대응 능력이 의심스러운 상황"이라고 지적했다.

이에 대해 김용익 의원은 "대응하지 못한 게 아니라 현재 면밀하게 조사 중이다. 국가적인 문제다. 다른 기관들과 보조 맞춰야 하고 국정원과도 협의 대책 준비 중이므로 큰 걱정을 하지 않아도 된다"고 밝혔다.