국정원 "공공기관 25곳 보안 미흡…15년전 윈도 쓰기도"

국정원, 130개 공공기관 정보보안 실태 첫 공개
전년 대비 평균 3.6점 상승해 '개선', 인력·조직 확충 등이 요인
보안 시스템 접근 통제 미비·지원 종료된 OS 사용 등은 지적사항

국정원 로고 (사진=국정원 제공) *재판매 및 DB 금지

【서울=뉴시스】송혜리 기자 = 국가정보원이 실시한 '2023년 공공기관 정보보안 관리실태 평가' 결과, 공공기관 보안 수준은 100점 만점 중 평균 75.47점으로 전년대비 개선된 것으로 나타났다. 전담조직·인력·예산확보 등의 수준이 상승한 것이 주요 요인이다. 그러나 130개 기관 중 25개 기관은 수준 미달인 것으로 조사돼 개선이 필요한 상황이다.

국가정보원은 19일 국가사이버안보센터에서 '사이버위협 실태 및 대응방안'을 공유하기 위한 기자 간담회를 열고, 이 같은 실태조사 내용을 소개했다.

국정원은 날로 심화되고 있는 사이버 위협으로부터 국가·공공기관을 보호하기 위한 예방 활동 일환으로, 2007년부터 중앙행정기관·광역지자체·공공기관 등을 대상으로 연 1회 '정보보안 관리실태 평가'를 수행하고 있다. 올해 공공기관 정보보안 관리실태 평가는 지난 1월부터 4월까지 공기업 36개, 준정부 기관 57개, 중소형 기관 37개 등 130개 기관을 대상으로 진행했다.

평균 75점으로 전년대비 소폭 상승…전반적으로 '개선'

올해 공공기관 평가점수는 100점 만점 중 평균 75.47점으로 전년대비 3.6점 상승했다. 각 기관이 평가지표를 얼마나 달성했는지 나타내는 평가지표 달성률도 79%로 3%포인트 상승하는 등 공공기관 전반적인 보안 수준이 개선된 것으로 나타났다.

국정원은 "정보보안 전담조직·인력·예산확보 등 관리적인 보안 수준이 상승한 것이 보안 수준 향상의 주요 요인으로 분석된다"고 설명했다.

구체적으로 공기업 분야에서 우수 등급은 한국남동발전 등 7개 기관이며, 보통 등급은 강원랜드 등 22개 기관, 미흡 등급은 그랜드코리아레저 등 7개 기관으로 조사됐다.

준정부기관 분야에서 우수 등급은 한국교통안전공단 등 11개 기관이며, 보통 등급은 공무원연금공단 등 35개 기관, 미흡 등급은 국립생태원 등 11개 기관 등으로 평가됐다.

중소형기관 우수 등급은 국토 교통과학기술진흥원 등 7개 기관, 보통 등급은 연구개발특구진흥재단 등 23개 기관, 미흡 등급은 국제방송교류재단 등 7개 기관 등이다.

보안시스템 접근통제 미흡·중단된 OS 사용 등 개선사항도 드러나

특히 국정원은 지난해 10월 '카카오마비 사태' 등을 계기로, 사이버 위기 발생 시 대응 방안 마련 여부 등을 집중 점검했다. 그 결과 위기 상황에 대비한 매뉴얼 정비, 위기 대응 훈련 실시 부분 달성률이 85%를 넘는 등 양호한 것으로 확인됐다.

업무 연속성 확보를 위한 복구 우선순위 수립 및 백업 복구훈련 실시 여부 집중 점검에서는 일부 미비점이 발견되기는 했으나 이 역시 달성률이 84%를 넘는 등 양호한 것으로 평가됐다고 국정원은 설명했다.

다만, 기술적 보안 분야에서 여전히 절반에 가까운 공공기관에서 서버·네트워크·보안장비 등 정보시스템에 대한 비인가자 접근통제가 미흡한 것으로 나타났다. 또 용역업체 직원에 대한 시스템 접근 권한을 차등 부여해야 함에도 불구하고 이를 이행하지 않는 등 용역업체 보안관리도 전년보다 미흡한 것으로 확인됐다.

아울러 윈도7·윈도 서버 2008 등 보안 지원이 중단된 운영체제의 사용, 시스템 보안패치 미 적용, 보안 설정 미흡 등도 문제점으로 지적됐다.

국정원은 "시스템 접근통제 등 평가점수가 저조한 분야에 대해 교육과 현장 컨설팅 등을 강화해 보안 수준을 높이도록 유도할 계획"이라고 설명했다.

☞공감언론 뉴시스 chewoo@newsis.com