공공기관 130곳중 25곳 `정보보안 미흡`

팽동현 2023. 7. 19. 18:25
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

백종욱 국가정보원 3차장이 19일 국가사이버안보협력센터 열린 간담회에서 기자들의 질문에 답변하고 있다. 국정원 제공

백종욱 국가정보원 3차장이 19일 국가사이버안보협력센터 열린 간담회에서 기자들의 질문에 답변하고 있다. 국정원 제공

국내 공공기관 130곳 중 25곳이 국가정보원의 공공기관 정보보안 관리실태 조사에서 미흡 평가를 받았다. 일부 기관은 서버 접근권한 통제 부실, 구형 운영체제 사용 등 보안의 허술함을 드러냈다.

국가정보원은 2007년부터 실시해온 공공기관 정보보안 관리실태 평가 결과를 19일 처음 공개했다.

정보보안 관리실태 평가는 대상기관이 평가지표를 먼저 자체 평가한 후 국정원 평가반이 현장실사를 통해 적절성을 검증하는 방식이다. 평가지표에는 정보보안 조직·인력·예산부터 망분리·재난방지 대책 적절성 등 관리적 보안, 기술적 보안, 위기대응 역량이 포함된다. 최종 평가 결과는 정부 업무평가에 반영된다.

외부 전문가로 구성된 '정보보안 관리실태 평가위원회' 논의를 거쳐 평가 대상 기관을 '공기업'·'준정부'·'중소형' 기관 등 유형별로 구분한다. 평가결과는 우수·보통·미흡 3단계다. 일부 기관에서 여전히 정보보안 관심도가 낮을 뿐 아니라 개선 의지를 보이지 않고 있어 평가결과 공개를 추진하게 됐다는 게 국정원의 설명이다.

올해 공공기관 평가점수는 100점 만점 중 평균 75.47점으로 전년(71.86점) 대비 3.61점 상승했다. 각 기관이 평가지표를 얼마나 달성했는지를 나타내는 평가지표 달성율도 79%로 3%포인트 상승했다. 특히 지난해 카카오톡 먹통 사태를 계기로 집중 점검한 백업·훈련 등 위기대응 역량에서 84%를 상회하며 양호한 결과를 보였다.

하지만 기술적인 측면에선 공공기관 46%가 서버·네트워크·보안장비 등 IT시스템에 대한 비인가자 접근통제가 미흡한 것으로 나타났다. 용역업체 직원에 시스템 접근권한을 차등 부여해야 하지만 이행하지 않는 곳이 62%였다. 보안 지원이 중단된 OS(운영체제) 사용, 시스템 보안패치 미적용, 보안설정 미흡 등 문제점을 가진 곳도 58%나 됐다.

국정원에 따르면 그럼에도 전반적으로 보안수준이 상승한 이유는 정보보안 전담 조직·인력과 예산 확보 등 관리적 분야 배점이 높고 기관장을 비롯한 기관의 정보보호에 대한 의지와 투자를 높게 평가하기 때문이다. 이 조사결과가 상대평가인 것도 이유로 거론됐다.

백종욱 국정원 3차장은 "상반기 공공부문 대상 사이버공격은 하루 평균 137만여 건이 발생하며 전년 동기보다 15% 늘어났지만, 사이버공격에 따른 피해는 외려 15% 가량 줄어드는 모습을 보였다. 정부·행정기관들의 보안에 대한 인식이 개선된 결과"라고 평했다.

총 130개 기관 중 가장 낮은 '미흡' 등급을 받은 곳은 총 25곳이다. 공기업은 그랜드코리아레저, 대한석탄공사, 제주국제자유도시개발센터, 주택도시보증공사, 한국방송광고진흥공사, 한국철도공사, 한국토지주택공사 등 7곳이다.

준정부기관은 국립생태원, 근로복지공단, 소상공인시장진흥공단, 한국관광공사, 한국보훈복지의료공단, 한국에너지공단, 한국연구재단, 한국원자력환경공단, 한국장학재단, 한국지능정보사회진흥원, 한국해양교통안전공단 등 11곳이다. 중소형기관은 국제방송교류재단, 대한건설기계안전관리원, 서민금융진흥원, 시청자미디어재단, 정보통신산업진흥원, 한국과학창의재단, 한국보육진흥원 등 7곳이다.

한편 국정원은 최근 급변하는 IT업무환경과 지능화·고도화되는 사이버위협 급증에 대비해 공공부문 제로트러스트 보안정책 도입을 추진한다고 밝혔다. 명시적인 필요성이 확인되기 전에는 네트워크에 대한 접근 권한을 전혀 부여하지 않는 보안 전략으로, 접근관리 등이 소홀한 현 실태 때문에도 도입이 시급하다. 국정원은 지난해 8월부터 '한국형 제로트러스트 구축'을 국정과제로 채택, '국가 사이버안보 민관협의체'의 각계 전문가와 함께 한국형 제로트러스트 아키텍처 및 가이드라인 개발을 착수했다. 2025년까지 부처별 시범 적용하고, 2026년 이후에는 범정부 대상으로 한국형 제로트러스트 보안정책을 확대 적용할 계획이다.

국정원 관계자는 "최근 과기정통부가 발표한 제로트러스트 가이드라인은 기술소개와 산업진흥의 개념에 가깝고, 정보보안 차원에서 공공부문에 대해 실제 구속력·실행력을 지닌 가이드라인을 준비하고 있다. SBOM(SW자재명세서) 또한 좀 더 검토를 거쳐 실질적 적용을 꾀할 것"이라며 "이와 관련해 과기정통부와 협의를 이어갈 것"이라고 밝혔다.팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.