뉴스타파는 한국과학기술원, 즉 카이스트의 병역특례제도가 허술하게 운영되고 있다는 것을 병무청에 신고한 뒤 곤경에 빠지게 된 카이스트 공익신고자 A씨의 사례를 지난 6월13일 보도했습니다.(관련보도:카이스트 수석이 공익신고자가 되면서 생긴 일)
이 사건을 취재하면서 의외였던 것은 공익신고자 A씨와 친하게 지내는 연구실 동료 B씨에게 취해진 조치였습니다. B씨는 당사자도 아닌데 A씨와 똑같은 일을 겪어야 했습니다.
과 교수들로부터 “A씨가 신고를 철회하도록 하라”는 협박성 발언을 들었고 A씨처럼 연구실 PC를 압수당하고 실험실 출입 금지 조치를 당한 것입니다.
학과 학생들과 교수들은 B씨가 A씨를 도와 타인의 자료를 몰래 빼내거나 다른 학생들을 감시했을 것이라는 의혹을 주장합니다. 조력자 역할을 했다는 겁니다. 지도교수는 이로 인해 다른 연구원들이 극심한 스트레스를 겪고 있어 실험실 출입을 금지했고 의혹을 확인하기 위해 B씨의 PC를 압수했다고 밝혔습니다.
‘감시’라는 부분은 예를 들면 이런 것이었습니다.
다른 학생들이 일과 중에 잠깐 교내 카페에 커피를 마시러 갔을 때 B씨가 카페에 나타나 시간과 이름을 체크하고 스마트폰에 뭔가 기록하는 식으로 B씨가 다른 학생들을 감시했다는 것입니다. 그리고 이 정보를 공익신고자 A씨에게 전달했을 가능성이 높다는 주장입니다.
이에 대해 B씨는 “어처구니가 없다”는 입장입니다. “그런 적도 없을 뿐만 아니라 자신들이 뭔가 해선 안될 일을 하고 있기 때문에 그런 식으로 나를 의심하는 게 아닌가 생각된다”는 것입니다.
서로 주장이 엇갈리지만 주장을 입증할 근거가 없는만큼 누구 말이 맞는지 확인하기는 사실상 불가능합니다.
하지만 타인의 자료를 빼내려 했다는 의혹에는 구체적인 근거가 있었습니다.
학과 내의 다른 학생은 물론 지도교수와 다른 학과 교수, 심지어 카이스트에서 주요 보직을 맡고 있는 교수들로부터 공통적으로 들은 이야기가 있습니다. B씨가 다른 연구자의 이메일 계정에 무단으로 접속하려했다는 이른바 ‘해킹 의혹’입니다. 지도교수는 이것이 ‘객관적인 증거’라고 말했는데 이게 사실이라면 B씨에게 취해진 조치가 부당하다고 할 수만은 없을 것입니다.
내용을 간단히 정리하면 이렇습니다.
타 대학에서 카이스트로 연구연수를 왔던 C라는 사람이 있습니다. C씨는 지난 2016년 연수를 끝내고 자신의 대학으로 복귀했고 C씨가 사용하던 연구용 PC를 B씨가 물려받아 사용했습니다. 그런데 2018년 9월 C씨가 영국으로 출장을 갔을 때 구글로부터 ‘중요 보안 경고’라는 이메일을 받게 됩니다. 비밀번호를 아는 다른 사람이 자신의 계정에 로그인을 시도했다는 내용이었는데 로그인을 시도한 IP주소는 다름아닌 카이스트에서 B씨가 사용하는 PC였습니다. C씨는 카이스트 학과에 이를 알렸고 다른 학생들과 교수들은 B씨를 의심하기 시작했습니다. C씨의 구글계정에 접속을 시도해서 뭔가를 빼가거나 이상한 일을 벌이려고 한 것 아니냐는 의심입니다.
그러던 와중에 지난 4월 병무청의 조사가 구체화되면서 A씨 사건이 터지자 이 ‘해킹 의혹’을 근거로 B씨의 PC를 압수하고 연구실 출입을 금지시켰습니다. 뿐만아니라 학과 교수들은 이 ‘해킹 의혹’을 문제 삼아 학교 감사실에 조사를 요청해 B씨는 감사실에 불려가 조사를 받기도 했습니다.
취재과정에서 기자는 이른바 ‘해킹 의혹’에 대해 학교관계자들이 갖고 있는 확신이 매우 강력하다는 것을 느꼈습니다. A와 B씨를 제외한 과의 다른 학생과 교수들이 하나같이 B씨를 의심하는 결정적인 증거인 것처럼 이 ‘해킹 의혹’을 언급했습니다.
과연 어떻게 된 일일까요?
C씨가 영국 출장 시에 받았다는 보안 경고 메일입니다. 로그인 시도가 있었던 시각은 2018년 9월21일 오후 2시 3분입니다.
구글에서는 평소에 사용하는 곳과 다른 데서 로그인이 시도될 경우 이런 경고 메시지를 계정 주인에게 보냅니다.
당시 C씨는 스마트폰으로 한 번 더 인증을 해야 로그인할 수 있는 구글 2중 인증을 사용하고 있어서 누군가가 자신의 계정에 로그인하지는 못했다고 말했습니다.
경고 메일에 나온 IP주소는 B씨가 사용하는 PC의 IP주소와 일치했습니다. 이 과의 연구실에서는 1명당 하나의 IP주소를 할당받아 사용하기 때문에 로그인 시도가 있었던 곳은 B씨의 PC라고 특정할 수 있습니다.
당일 B씨의 크롬 브라우저 접속기록을 보면 B씨는 경고메일이 발송된 오후 2시 2분 자신의 카이스트 이메일 계정에 접속해 2시 6분까지 학교 이메일을 사용한 것으로 나옵니다. 구글 계정에 로그인을 시도한 기록은 나타나지 않습니다.
그런데 어떻게 B씨의 PC에서 C씨의 구글 계정에 로그인을 시도한 것으로 경고 메일이 보내졌을까요?
처음에 C씨로부터 연락을 받는 B씨는 “IP주소는 이 컴퓨터가 맞긴 한데 어찌된 일인지 모르겠다, 나는 로그인 시도를 한 적이 없다”고 해명하고는 그냥 넘어갔습니다.
그런데 한달여 뒤 학과 분위기가 심상치 않은 것을 알고 학교 정보통신팀에 ‘다른 누군가가 자신의 PC의 IP로 타인의 구글계정에 접속을 시도’했다며 보안사고 신고를 접수했습니다. 자진해서 조사를 의뢰한 것입니다.
학교 정보통신팀의 보안담당 직원은 원격으로 B씨의 PC에 접속해 어떻게 된 일인지 살펴봤습니다. 그 결과 마이크로소프트의 전자우편 프로그램인 아웃룩의 설정에 C씨의 구글 아이디와 패스워드가 저장돼 있다는 것을 찾아냈습니다. C씨가 자신의 구글 이메일을 끌어와 아웃룩에서 사용하기 위해 설정해 놓은 것이었습니다. 학교 정보통신팀 직원은 B씨에게 아웃룩 계정을 삭제하면 문제가 해결될 것이라고 조언했습니다.
B씨는 평소에 아웃룩 프로그램을 사용한 적이 없습니다. 그럼 어떻게 아웃룩에서 구글계정에 로그인을 시도한 것일까요?
오후 2시 2분쯤 자신의 학교 이메일에 접속한 B씨는 실험에 필요한 물품을 주문하려고 했습니다. 받은 이메일에 담당자의 이메일주소가 링크돼 있었고 이 주소를 복사해 붙여쓰기를 하려다가 실수로 링크가 클릭됐다고 합니다. 이때 아웃룩 프로그램이 실행됐습니다.
낯선 프로그램 창이 뜨자 B씨는 바로 아웃룩 프로그램을 닫고 자신의 학교 이메일로 필요한 실험 재료를 주문했다고 합니다. 주문 이메일이 발송된 시각은 오후 2시 6분입니다.
짧은 내용의 주문서를 작성하는데 걸린 시간과 인터넷 접속기록을 감안하면 B씨는 2시 2분에 학교 이메일에 접속했고 2시 3분에 실수로 구매처 담당자의 이메일 주소를 클릭하면서 아웃룩이 실행됐을 것으로 추정됩니다. 아웃룩 프로그램이 실행되면서 여기에 설정된 C씨의 아이디와 패스워드로 구글 계정에 로그인이 시도됐고 2중 인증 기능을 사용하고 있던 C씨에게 보안 경고 메일이 발송됐던 것입니다.
※ 다소 복잡한 이야기지만 아웃룩 프로그램은 구글 2중 인증을 지원하지 않습니다. 1차 로그인 성공 후 본인의 스마트폰에서 2차로 인증하더라도 아웃룩에선 지메일을 가져오지 못합니다. 구글에서 발행하는 16자리 ‘앱비밀번호’라는 것을 별도로 입력해야 됩니다. C씨의 아웃룩계정에는 별도의 앱비밀번호 저장이 안 돼 있었기 때문에 최종로그인이 될 수 없는 상황이었습니다.C씨는 아웃룩을 거의 사용하지 않았다고 했습니다. 처음에 지메일 계정 설정이 잘 안돼 그 후부터 사용하지 못했다는 겁니다. C씨의 말처럼 아웃룩 화면을 보면 2015년 1월에 온 이메일이 마지막 이메일이고 이것도 아직 열어보지 않은 상태였습니다. |
실제로 이런 일이 가능한지 테스트를 해봤습니다.
미국에서 살고 있는 지인에게 부탁해 제가 갖고 있는 2개의 구글 계정에 로그인을 시도하도록 해 본 것입니다. 한번은 틀린 비밀번호로 한번은 정확한 비밀번호로 각각 로그인을 시도했습니다. 그랬더니 유일하게 2중 인증을 사용하는 구글 계정에서 정확한 패스워드를 입력했을 때 한국에 있는 기자에게 C씨가 받은 것과 같은 경고 메일이 도착했습니다.
이런 경고 메일은 2중 인증을 사용하는 구글 계정에 대해 정확한 비밀번호를 입력했을 경우 발송된다는 것이 확인된 것입니다.
그렇다면 결국 B씨가 실수로 아웃룩 프로그램을 실행시켰을 때 PC의 아웃룩 프로그램의 설정에 저장돼 있던 C씨의 구글 아이디와 비밀번호 때문에 로그인이 시도돼서 C씨에게 구글 보안 경고 메일이 보내진 것이지 B씨가 C씨의 계정을 해킹하려고 했다고 보기 어렵습니다. 굳이 책임을 따진다면 B씨보다는 카이스트를 떠나면서 사용하던 PC에 자신의 계정을 삭제하지 않고 떠난 C씨에게 더 책임이 있어 보입니다.
그런데 C씨는 기자와의 통화에서 카이스트를 떠나 소속학교로 돌아간뒤 구글 비밀번호를 바꿨다고 말했습니다. 앞서 테스트에서 보듯이 비밀번호가 정확할 때만 위와 같은 구글 경고 메일이 발송된다는 것을 점을 감안할 때 자신이 바꾼 비밀번호를 누군가 알아내 B씨의 PC에서 로그인을 시도했을 가능성도 있다고 C씨는 말하고 있습니다.
C씨의 주장대로 누군가가 B씨의 바뀐 비밀번호를 귀신같이 알아내 설정을 바꾸어놓았을 가능성도 있습니다. 하지만 만약 그랬다면 바뀐 비밀번호를 아웃룩 설정에 저장해놓는 순간 로그인이 시도됐을 것이고 C씨에게 바로 보안 경고 메일이 발송됐을 것입니다. 그런데 이전에는 C씨가 이런 보안 경고 메일을 받은 적이 없으므로 가능성이 희박한 가설입니다.
또 B씨의 연구분야는 C씨와는 전혀 다른 분야라서 관련이 별로 없다고 합니다. 그리고 B씨는 정보통신팀의 조언에 따라 아웃룩 계정과 프로그램을 삭제하려다 방법을 몰라 삭제하지 못했을 정도로 PC사용이 아주 능숙한 편은 아닙니다. B씨가 C씨의 바뀐 패스워드를 알아낼 정도의 해킹 능력이 있다고 보기도 어렵습니다.
그렇다고 다른 누군가가 B씨의 PC에 원격으로 접속해 일을 꾸몄을 가능성도 높지 않아 보입니다. B씨가 PC를 사용하고 있는 와중에 사용자에게도 들키지 않을 고급 해킹툴을 사용해 일과 중인 오후 2시라는 시각에 타인의 계정에 로그인을 시도했다는 식의 설명보다는 앞서 설명한 B씨와 학교 정보통신팀 보안담장 직원의 분석이 훨씬 합리적이기 때문입니다.
이 문제에 대해 이렇게 시시콜콜하게 자세히 언급한 이유는 이것이 바로 학과 내 다른 학생들과 교수들이 제기했던 문제였고 지금도 이것이 B씨를 ‘해킹범’으로 몰아세우는 근거로 작동하고 있기 때문입니다.
그런데 하나 하나 따져보니 이들이 B씨를 ‘해킹범’ 내지는 ‘해킹 방조범’으로 의심할 근거는 신빙성이 거의 없었습니다. 그런데 이 ‘객관적인 증거’때문에 B씨는 PC를 압수당하고 실험실 출입을 금지당하고 감사실에서 조사까지 받아야 했습니다.
B씨는 이같은 일이 있었다는 것을 이 해프닝이 발생했을 때 이미 지도교수에게 보고도 했습니다. 그런데 그 때는 아무말이 없다가 6개월 가까이 지난 올해 4월에 이 문제를 다시 끄집어내 문제를 삼은 것은 B씨를 어떻게든 공익신고자 A씨 사건과 엮으려는 의도로밖에는 설명하기 힘들어 보입니다.
B씨는 학교측의 중재로 압수된 PC의 자료를 복사해 받았고 최근 일부 실험실의 출입은 허용이 됐습니다. 하지만 여전히 다른 학생들과 교수들의 의심에는 변함이 없습니다.
B씨는 자신이 근거도 없이 의심만으로 부당한 조치를 받았다고 무척 억울해 하고 있습니다. 단순한 해프닝이 자신을 ‘해킹범’으로 몰아세우는 ‘객관적인 증거’가 될 줄은 꿈에도 몰랐습니다.
이런 일이 벌어진 곳은 다른 곳도 아닌 우리나라 최고의 과학자를 양성하는 곳 중의 하나인 카이스트입니다. 그리고 이 사건은 아직도 현재 진행형입니다.
취재: 최기훈
그래픽:이도현