18개 주요 기관중 3곳만 보완시스템 완비
관련 통계자료 다운로드 출연연 해킹피해 일지 그동안 정부의 정보보안에 대한 중요성이 강조돼 왔음에도 불구하고 정부출연연구기관 대부분이 홈페이지 위·변조나 악성 코드삽입 등 해킹에 무방비 상태인 것으로 드러나 충격을 주고 있다.
23일 본지가 입수한 국회과기정위 및 과학기술부의 18개 주요 출연연구기관에 대한 정보보안 실태 조사 결과 최근 빈발하는 해킹에 능동적으로 대처할 수 있는 보안시스템을 충실히 갖춘 기관은 전체의 16%인 3개 기관에 불과한 것으로 나타났다.
또 해커들의 집단 공격을 탐지할 수 있는 위협관리시스템을 갖춘 기관이 2곳(11%), 재택근무나 외근 시 이용되는 가상사설망(VPN)과 웹보안 솔루션(웹방화벽·홈페이지 진단도구 등)을 보유하고 있는 기관이 3곳(16%), 백신 프로그램이나 윈도를 자동 업그레이드하는 패치관리시스템을 보유한 기관이 6곳(33%)인 것으로 조사됐다.
◇대부분 기본적인 보안 솔루션만 갖춰=이번 조사 결과 기술유출방지시스템을 도입한 한국전자통신연구원과 통합백업시스템을 구축해 놓고 있는 한국생산기술연구원을 제외하고는 대부분 △침입차단시스템(파이어월) △침입탐지시스템(IDS) △침입방지시스템(IPS) △바이러스 백신(V3) 등 기본 솔루션만 갖춰 놓고 있다. 원자력연구소·지질자원연구원·기계연구원·표준과학연구원 등 일부 출연연도 자동패치 서버 등 솔루션을 추가적으로 도입, 상대적으로 나은 편이다.
하지만 보안 전문가들은 이들 기본 솔루션 외에 패치관리시스템·웹 보안·위협관리시스템 등을 도입해야 웹해킹을 차단할 수 있다고 지적한다.
◇보안인력·예산도 부족=출연연들은 올해 연구개발(R&D)에 평균적으로 1000억원 정도를 쏟아부을 계획이지만 정보보호 예산은 R&D 예산의 0.01∼0.1%인 600만∼1억원에 불과하다. 5000만원에도 미치지 못하는 기관은 전체의 44%가량인 8개 기관이다. 5000만∼1억원 미만도 28%인 5개 기관이나 됐다. 10억원 이상 투자하고 있는 기관은 단 한 곳으로 조사됐다. 보안 전문인력도 대부분 1∼2명뿐이다.
◇저급한 보안 의식이 문제=전문가들은 출연연 정보 보안의 가장 큰 문제점으로 ‘저급한 보안의식’을 꼽았다. 백신 프로그램에 침입차단시스템 정도만 있으면 해킹을 막을 수 있다는 인식이 팽배해 있다는 지적이다.
정부의 ‘안일한 뒷북 행정’도 꼬집었다. 출연연에서 터지는 웹해킹 사고에 대해 해명에 급급할 뿐 전문교육을 정기적으로 실시하거나 투자를 늘리는 등 근본적인 처방은 예산문제로 엄두를 내지 못하고 있다.
안철수연구소의 한 보안 전문가는 “미국은 정보기술 예산 대비 정보보호 예산이 평균 8∼10% 수준”이라며 “소 잃고 외양간 고치기 식의 정부 정책으로는 결코 첨단을 달리는 해커를 당할 수 없다”고 잘라 말했다.
대전=박희범기자@전자신문, hbpark@
