보안 조치 미흡한 공공기관…"국가 컨트롤타워 필요"

[이데일리 김가은 기자] 국가·공공기관들의 정보보안 수준이 여전히 미흡한 것으로 나타났다. 특히 기술적 보안 조치가 문제점으로 꼽히고 있다. 절반 가까운 곳에서 정보시스템에 대한 방비가 허술한 것으로 조사됐다. 전문가들은 국가 전제 보안 운영·관리를 담당할 독립된 ‘사이버 안보 컨트롤타워’가 필요하다고 입을 모았다.

(사진=국가정보원)

국가정보원이 5일 발표한 ‘2023년 중앙행정기관·광역지자체 정보보안 관리실태 평가’에서 △방송통신위원회 △원자력안전위원회 △서울특별시 △국민권익위원회 △소방청 △경상북도 △충청북도가 ‘미흡’ 등급을 받았다.

국정원은 이들 7개 기관·지자체가 미흡 등급을 받은 이유를 공개하지 않았다. 보안 조치가 취약 요인을 공개할 경우 악용될 우려가 있기 때문이다. 다만 이번 조사에서 정보시스템에 대한 기술적 보안 조치가 주 문제점으로 꼽혔던 만큼 이와 연관돼 있을 가능성이 크다는 분석이다.

국정원은 2007년부터 상반기에는 공공기관, 하반기에는 중앙행정기관과 광역지자체를 대상으로 매년 1회 정보보안 관리 실태 평가를 진행하고 있다. 평가지표는 △관리적 보안 △기술적 보안 △위기 대응 역량 등 3개 분야로 이뤄져 있으며 세부적으로 41개 항목, 101개 질의로 구성됐다.

2023년 중앙행정기관·광역지자체 정보보안 관리실태 평가 결과(사진=국가정보원)

이번 평가에서는 랜섬웨어 등 해킹 사고 예방, 재난 대비 역량, 민간 클라우드 이용 보안대책 등을 다룬 것으로 알려졌다. 외부 전문가 50여명으로 구성된 현장실사반이 총 193개 기관을 평가했다.

평가 결과 전담인력·보안감사 시행 등 관리적 보안 수준은 올라갔지만 절반 가까운 기관이 △서버·네트워크 등 정보시스템에 대한 비인가자 접근통제 △보안설정 △용역업체 보안관리 등에서 미흡한 것으로 나타났다.

이는 지난해 7월 공개된 공공기관 정보보안 관리실태 평가에서도 동일하게 지적된 부분이다. 국정원은 당시 “절반 가까운 공공기관이 정보시스템에 대한 비인가자 접근 통제가 미흡했고 용역업체 직원 등에 대한 시스템 접근 권한을 차등 부여하지 않은 곳도 2022년보다 늘어났다”며 “윈도 7, 윈도 서버 2008 등 보안 지원이 중단된 운영체제(OS)를 사용하거나 시스템 보안 패치를 적용하지 않는 문제도 발견됐다”고 설명했다.

전문가들은 국가 전체 보안을 총괄할 컨트롤 타워가 필요하다고 입을 모았다. 현 정부의 핵심 공약이기도 했던 ‘사이버 안보청’과 같은 독립된 전담부처를 설치해야 한다는 것이다.

국내 보안 관련 고위 공직자는 “전담 부처, 즉 일반 행정청이 사이버 보안 정책을 총괄하는 것은 물론, 인력 양성이나 기관 사이의 조율, 공공부문 점검 개선 등을 이끌어야 한다”며 “현재 국가안보실이 컨트롤타워 역할을 수행하는 것만으로는 일원화된 추진이 힘들다”고 강조했다.

공공대상 정보보안 관리실태 평가 방식이나 항목을 개선해야 한다는 목소리도 나왔다. 한 보안업계 대표는 “평가에서 실제로 중요한 건 달성하고자 하는 보안 체계가 있는지 여부”라며 “물리적인 보안은 점검과 대응의 간극이 좁지만 사이버 보안은 훈련을 잘한다고 대응 역량이 높아지진 않는다”고 지적했다.

그러면서 “백신이나 방화벽 등 설치만으로도 충분했던 과거와는 달리 현재는 대비를 잘해도 공격자의 움직임을 예측하거나 주시하고 있지 않으면 피해를 입을 수 밖에 없다”며 “단순한 대비에 대한 점검을 넘어 실질적으로 대응할 능력이 있는지 등을 더 상세하게 분석하는 방식이 필요하다”고 덧붙였다.

정보보안 평가에 대한 등급제가 필요하다는 의견도 제기됐다. 한 업계 관계자는 “수많은 기관에 대한 모의 침투 테스트, 운영 인력이나 현황 등을 제대로 수행하려면 인력과 시간이 더 필요하다”며 “그러나 국정원 인력을 몇 백명 늘리는 건 적절치 않으니 국가 공공기관에 대한 실태점검 권한도 민간에 부분적으로 이양해 심도 있는 점검과 보안 산업 활성화 등을 이뤄야 한다”고 강조했다.