지난 10월 4일 블룸버그 비즈니스에 따르면, 애플과 아마존 웹서비스의 데이터센터 서버에서 중국 정부의 감시용으로 추정되는 마이크로칩이 발견됐다.

문제의 스파이용 마이크로칩은 중국의 서버 제조업체 '슈퍼 마이크로'가 해당 서버에 부착했고 미국 회사들의 기밀이나 지적재산권을 수집하는데 사용됐으며, 슈퍼 마이크로는 애플과 아마존의 데이터센터 서버를 중국에서 조립한 것으로 보도했다.

애플과 아마존 양사는 부인하고 있지만, 그 파문은 전 세계적으로 확산되고 있는 상황이다.

지난 과기정통부 국정감사에서 산하기관 11곳에서 슈퍼마이크로사의 서버 731대를 쓰고 있는 것으로 파악되고 있는 가운데, 건강보험공단과 심사평가원에서도 이들을 쓰고 있는 것으로 나타났다.

자유한국당 김세연 의원은 19일 국민건강보험공단·건강보험심사평가원 국정감사에서 이 같이 밝혔다.

국민건강보험공단에 슈퍼마이크로사 서버 및 마더보드 사용현황을 파악해본 결과 서버는 완제품 5대를 도입하는 것으로 나타났다.

문제는 의원실 최초 요구 당시 개인정보 DB와 상관없는 서버 단 2대만 사용하고 있으며 마더보드의 경우 파악이 안된다고 답변을 보내왔지만, 재차 요청을 하자 5대의 완제품 서버를 사용하고 있다고 답변을 보내왔다.

마더보드(메인보드)의 경우 서버의 허브 역할을 하고 있는 통신장비 10대에 슈퍼마이크로사 마더보드가 설치된 것으로 파악하고 있다.

김 의원은 "데이터 보안에 가장 민감해야 하는 국민건강보험공단에서 통신장비 제품사용에 대해 번복하는 등 제대로 현황파악이 안 되고 있는 상황으로 제대로 된 전수조사가 꼭 필요하다"고 지적했다.

심사평가원의 경우 슈퍼마이크로사의 23대의 완제품 서버를 도입했으며, 개별 통신장비에 마더보드는 사용하지 않은 것으로 확인됐다.

각 서버의 용도중 내부망에 접근할 수 있는 서버는 17개 서버이며, 특히 8개의 서버는 DB 접근로그 수집용 서버, 4개 서버는 서버 로그 수집용으로 나타나고 있다.

김 의원은 "국민건강보험공단과 건강보험심사평가원에서는 의원실에서 자료를 요구할 때까지 슈퍼마이크로사 파문에 대해 전혀 인지하지 못하고 있었다"며 "자료요구 전까지 상급기관에서 별도의 지시도 받지 못한 것으로 확인됐다"고 질타했다.

현재 KT 등 통신사와 대기업 등에서는 이미 현황파악에 들어갔으며, KAIST에서는 슈퍼마이크로사의 장비에 대해 15일 반품 및 환불을 검토하고 있다고 알려져 있다.

그러나 국민건강보험공단에서는 4대 보험 통합징수를 위해 부동산, 직장, 가족관계 등 약 3조 4천억건의 국민들의 개인정보를 관리하고 있어 이러한 정보보안 문제에 가장 심각하게 대응해야 함에도 불구하고 인지조차 못하고 있는 상황이라는 것.

2011년 국민건강보험공단에 대한 북한의 직접적인 24차례 해킹시도가 있었으며, 2017년 전세계 150여 개국을 강타한 해킹 공격 이른바 '워너크라이(WannaCry) 랜섬웨어' 공격시 우리의 건강보험공단격인 영국의 국민보건서비스(NHS)가 공격을 받아 서버가 마비가 된 적이 있었다.

또한, 연도별 공단에 대한 해킹의심 대응건수는 2015년에 줄었다가 2017년에는 2배이상 증가한 상황에서 이렇게 중요한 문제에 대해서 넋 놓고 있는 공단의 정보보안 위기대응체계에 의심을 품을 수 밖에 없는 상황이다.

심사평가원에서는 약 1조900억건의 국민의 진료기록, 자동차보험 등 국민건강과 개인정보를 보유하고 있으며, 이러한 자료를 통해서 주요인사 등에 대한 건강상태 등 주요정보를 확인할 수 있다.

연도별 심평원의 해킹의심 대응건수는 건강보험공단보다는 적지만 2017년도에 2배 이상 증가했다.

그러나 전산직 235명 중 정보보안과 관련하여 1명만 국가공인정보보호전문가 자격증을 보유하고 있고, 3명만이 정보보안과 관련한 학위자로 나타나고 있어 정보보안 위기대응이 가능할지 의심스러운 상황이다.

김세연 의원은 "건보공단과 심평원은 대한민국에서 가장 많은 국민의 개인정보자료를 보유하고 있으면서도, 타 공공기관과 민간기관에서도 발 빠른 대응을 하고 있는 일명 '스파이칩' 사태에 강건너 불구경 하듯이 아무런 조치를 취하지 않고 있다"고 지적했다.

이어 "공단과 심평원의 국민의 소중한 정보를 지키기 위한 의지와 정보보안 및 해킹 등에 위기대응 능력이 의심스러운 상황"이라고 말했다.