"방화벽·IDS·백신에만 의존 공공 보안시스템 혁신 시급"

　중요 국가 기밀을 다루는 공공기관에 오래된 보안 시스템만이 구축돼 최신 사이버 위협에 무방비 상태인 것으로 나타났다.

　16일 국가사이버안전센터(NCSC)가 발간한 ‘2005 사이버 침해 사례집’에 따르면 국가 공공기관에서 도입한 정보보호 시스템은 주로 방화벽(23%), 침입탐지시스템(18%), 백신(13%) 등이며 침입방지시스템(IPS)과 웹 방화벽 등 최신 보안제품 도입 비율은 매우 낮은 것으로 파악됐다.

　또 공공기관 홈페이지가 각종 민원 처리와 문서 수발 등 주요 업무를 수행하는 것에 반해 보안을 전혀 고려하지 않고 설계된 경우가 대부분이어서 대책 마련이 시급한 것으로 드러났다.

　최근 사이버 침해 사고는 방화벽과 같은 기존 보안 제품만으로 방어할 수 없는 웹 애플리케이션 취약점을 이용한 것이 대부분이어서 국가 기관을 대상으로 한 해킹 등이 급증하는 추세다.

　특히 NCSC는 웹 해킹이나 스팸메일 등으로 인한 공격은 별도의 전용장비를 배치해 대응하지 않으면 안 되는 실정에 이르고 있어 첨단 정보보호 제품 도입이 시급하다고 밝혔다. 또 공공기관의 내부망 PC의 보안책이 부실해 이의 대책 마련도 촉구했다.

　최근 해킹은 개별 PC를 대상으로 이뤄지고 있으나 많은 공공기관 PC이용자가 보안 지식이 부족해 무분별하게 e메일을 수신하고 파일 다운로드와 메신저를 이용해 위협에 노출된 실정이다. 많은 공공기관은 외부 반출입 노트북PC나 외부인이 사용하는 인터넷망을 업무 망과 연동, 웜·바이러스가 업무망에 확산돼 피해를 보고 있는 것으로 나타났다.

　NCSC 측은 “공공기관의 홈페이지 피해가 자주 발생하는 것은 지금보다 보안의식이 없던 수년 전에 우선 홈페이지부터 개설하자는 분위기로 인해 보안을 고려한 웹 프로그램 설계 없이 서비스되었기 때문”이라며 “각급 기관에서는 홈페이지가 개설된 지 3년 이상이 됐거나 개발업체로부터 유지보수를 받지 못하고 있는 홈페이지는 전문 보안업체나 NCSC로부터 취약점 점검을 받아 피해를 예방해야 한다”고 권고했다.

　김인순기자@전자신문, insoon@