이해민 "국가정보자원관리원, 화재 한 달 전 '백업·복구' 인증 통과"

실제 백업 미비로 G드라이브 공무원 업무자료 소실..."ISMS 인증 신뢰에 의문, 개선책 마련해야"

[유창재 기자]

▲ 9월 30일 오전 대전 유성구 국가정보자원관리원(국정자원) 화재 현장에서 감식 관계자들이 4일차 현장 감식을 준비하고 있다. ⓒ 연합뉴스

국가정보자원관리원이 화재가 발생하기 한 달 전 재해복구 관련 항목이 포함된 '정보보호관리체계(ISMS)' 인증을 통과한 것으로 확인됐다.

10일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원은 "화재 복구 과정에서 백업 미비로 G드라이브 공무원 업무자료가 소실되는 등 복구 체계의 허점이 드러났다"면서 "이번 사태로 인증제도의 신뢰성과 실효성에 근본적인 문제가 있음을 보여주고 있다"고 지적했다.

G드라이브는 중앙부처 공무원 등이 직무상 생산하거나 취득한 업무자료를 클라우드 컴퓨팅을 활용해 저장하고 관리할 수 있는 정보시스템을 말한다. 이 시스템 전소로 약 75만 명의 국가직 공무원의 업무용 개인 자료가 모두 사라지게 됐다.

이 의원에 따르면 국가정보자원관리원은 행정안전부 소관의 정부 기관이기 때문에 민간 부문의 ISMS 인증 의무 대상이 아니라 이를 받을 필요도 없었다. 하지만 지난 9월 3일 자율적으로 인증을 신청해 '운영(대전·대구·광주)', '개인정보처리시스템(방문자관리, 통합운영관리지원, 출입통제)' 부문에 대해 인증을 취득했다.

ISMS 인증은 총 80개 심사 항목을 평가하는데, 여기에 ▲재해·재난 대비 안전조치(재해유형 식별, 복구 목표시간 정의, 복구계획 수립·이행) ▲재해복구 시험 및 개선(복구 시험 계획·실시, 정기적 검토·보완) ▲백업 및 복구관리(백업 대상·주기·방법, 복구 절차 수립·이행, 정기적 복구 테스트) 등이 포함돼 있다.

최근 있었던 케이티(KT)와 롯데카드 해킹 사태에서 정보보호체계 인증이 논란이 된 바 있다. 인증을 취득한 기업에서도 대형 해킹 사고가 터져 국민들의 개인정보 유출 피해가 있었기 때문에 인증 심사가 '형식적 통과'에 불과한 게 아니냐는 비판이 나온다.

이 의원은 "(국가정보자원관리원은) 이중화·이원화는커녕 백업도 제대로 하지 않은 상황이었다"면서 "그럼에도 재난·재해 대비 수준을 '적정'하다고 판정해준 ISMS 인증제도를 과연 어디까지 신뢰할 수 있을지 심각한 의문이 든다"고 지적했다.

이어 그는 "정부가 형식적인 인증 건수 늘리기에 급급할 것이 아니라 실제 보안, 재해복구 수준을 담보할 수 있는 근본적인 개선책을 시급히 마련해야 한다"고 주문했다.