중국 '슈퍼 마이크로'社의 스파이용 마이크로칩 파문이 최근 전 세계적으로 확산하는 가운데, 우리나라에서 가장 많은 국민 정보를 관리하는 국민건강보험공단 · 건강보험심사평가원에서는 해당 기기의 현황 파악조차 못 하는 등 발 빠른 대처를 못 하고 있어 정보 보안이 큰 위기를 맞고 있다.

19일 국회 보건복지위원회 소속 김세연 의원(자유한국당 · 부산 금정구)은 국민건강보험공단(이하 건보공단) · 건강보험심사평가원(이하 심평원)으로부터 '슈퍼마이크로사 서버 및 마더보드 사용 현황'을 문의한 결과 ▲건보공단의 경우 △서버는 완제품 5대를 사용하며 △통신장비 10대에 슈퍼마이크로사 마더보드가 설치됐고 ▲심평원의 경우 △23대의 완제품 서버를 도입했으며 △개별 통신장비에 마더보드는 사용하지 않은 것으로 확인됐다고 전했다.

10월 4일 블룸버그 비즈니스에 따르면, 애플 · 아마존 웹서비스의 데이터센터 서버에서 중국 정부의 감시용으로 추정되는 마이크로칩이 발견됐다. 해당 스파이용 마이크로칩은 중국의 서버 제조업체 '슈퍼 마이크로'가 해당 서버에 부착하여 미국 회사들의 기밀 · 지적재산권을 수집하는 용도로, 슈퍼 마이크로는 애플 · 아마존의 데이터센터 서버를 중국에서 조립한 것으로 알려져 있다.

관세청의 '최근 5년간 중국에서 제조한 슈퍼 마이크로 기업의 마더보드 및 서버 수입 현황' 자료에서는 약 65억 7,544만 원 상당의 해당 마더보드 · 서버 49.8톤이 국내에 반입된 것으로 확인됐다. 15일 과학기술정보통신부(이하 과기정통부) 국정감사에서 바른미래당 신용현 의원은 과기정통부 산하기관 11곳에서 슈퍼마이크로사 서버 731대를 쓰고 있다고 언급했다.

건보공단의 경우 서버는 완제품 5대를 도입했으며, 마더보드(메인보드)의 경우 서버의 허브 역할을 하는 통신장비 10대에 슈퍼마이크로사 마더보드가 설치된 것으로 파악됐다. 

김세연 의원은 "본 의원실 최초 요구 당시 건보공단에서는 개인정보 DB와 상관없는 서버 단 2대만 사용하고 있으며, 마더보드의 경우 파악이 안 된다고 답변을 보내왔지만, 재차 요청하자 5대의 완제품 서버를 사용하고 있다고 답변을 보냈다."면서, "데이터 보안에 가장 민감해야 하는 건보공단에서 통신장비 제품사용을 번복하는 등 제대로 현황 파악이 안 되고 있어 제대로 된 전수조사가 꼭 필요하다."라고 지적했다.

심평원은 슈퍼마이크로사의 완제품 서버 23대를 도입했으며, 개별 통신장비에 마더보드는 사용하지 않은 것으로 확인됐다. 각 서버 용도 중 내부망에 접근할 수 있는 서버는 17개 서버이며 △8개 서버는 환자 개인정보가 담겨 있는 DB 접근로그 수집용 서버 △4개 서버는 서버 로그 수집용이다. 

김 의원은 "건보공단 · 심평원에서는 본 의원실에서 자료를 요구할 때까지 슈퍼마이크로사 파문에 대해 전혀 인지하지 못하고 있었다. 자료요구 전까지 상급기관의 별도 지시도 받지 못한 것으로 확인됐다."라면서, "KT 등 통신사 및 대기업에서는 이미 현황 파악에 들어갔으며, KAIST에서는 슈퍼마이크로사의 장비에 대해 반품 · 환불을 검토하는 것으로 알려졌다. 건보공단은 4대 보험 통합징수를 위해 부동산 · 직장 · 가족관계 등 약 3조 4천억 건의 국민 개인정보를 관리하고 있기 때문에 정보 보안 문제에 가장 심각하게 대응해야 함에도 인지조차 못하고 있었다."라고 언급했다.

건보공단 대상으로 2011년에는 북한의 직접적인 24차례 해킹 시도가 있었고, 2017년 발생한 '워너크라이(WannaCry) 랜섬웨어' 공격에서는 우리나라 건보공단 격의 영국 국민보건서비스(NHS)가 공격을 받아 서버가 마비됐다. 연도별 공단 대상 해킹의심 대응 건수는 2015년에 줄었다가 2017년에는 2배 이상 증가했다. 

김 의원은 "이렇게 중요한 문제에 대해 넋 놓는 공단의 정보 보안 위기대응체계에 의심을 품을 수 밖에 없다."라고 일축했다.

심평원에서는 약 1조 900억 건의 국민 진료기록, 자동차보험 등 국민건강 · 개인정보를 보유하고 있으며, 이러한 자료를 통해 주요인사 등에 대한 건강상태 등 주요정보를 확인할 수 있다. 연도별 심평원 대상 해킹의심 대응 건수는 건보공단보다는 적지만 2017년도에는 2배 이상 증가했다.

김 의원은 "심평원 전산직 235명 중 정보 보안과 관련해 단 1명만이 국가공인정보보호전문가 자격증을 보유했고, 3명만이 정보보안과 관련한 학위자여서 정보보안 위기대응이 가능할지 의심스럽다."라고 덧붙였다.

국민건강보험공단의 경우 정보보안 자격증 소지자는 24명, 정보보안 학위자는 3명이다.

김 의원은 "건보공단 · 심평원은 대한민국에서 가장 많은 국민 개인정보자료를 보유하고 있으면서도, 타 공공기관 · 민간기관에서도 발 빠른 대응을 하고 있는 일명 '스파이칩' 사태에 강 건너 불구경하듯이 아무런 조치를 취하지 않고 있었다."면서, "건보공단 · 심평원이 국민의 소중한 정보를 지키기 위한 의지 및 정보보안 및 해킹 등의 위기대응 능력이 있는지 의심스러운 상황이다."라고 우려했다.