공공기관 보안불감증 도 넘었다

　국가 공공기관의 보안 불감증이 여전한 것으로 드러났다.

　국회 디지털포럼(대표의원 서상기)은 27일 국회 본청에서 비공개 ‘사이버방어대회 결과 보고회’를 열고 총 37개 참여기관 중 15개 기관의 정보보호 대책이 미비해 보안 취약점이 대거 발견됐다고 밝혔다.

　서상기 의원은 “이번 사이버방어대회에 참여한 37개 기관 중 15개 정부·산하 기관에서 취약점이 발견됐다”며 “2004년 여름 중국 해커가 원자력연구소 등 공공기관 해킹 사건을 벌인 지 3년여가 지났지만 공공기관의 정보보호 불감증이 여전하다”고 지적했다.

　디지털포럼은 지난 6일부터 15일까지 열흘 동안 국정원 국가사이버안전센터(NCSC)와 함께 국가 공공기관의 보안 수준 제고를 위해 과기·정통부 및 산하 37개 국가기관을 대상으로 모의해킹을 통한 사이버방어대회를 개최했다. 이번 모의해킹은 NCSC의 협조로 이뤄졌으며 정보유출이나 자료의 위·변조 및 삭제 등은 포함되지 않은 단순침투 형태의 모의 사이버 방어 훈련이었다.

　모의해킹 결과 15개 기관이 보안대책 미비로 인한 개인정보를 유출하거나 홈페이지 변조, 해킹프로그램 유포에 악용되는 등 37개 보안 취약요인이 발견됐다.

　대다수 공공 기관은 SQL인젝션 취약점에 노출돼 해커가 해당 기관 DB 정보와 DB 데이터를 수집하거나 변경할 수 있었다. 또 웹 애플리케이션 취약점으로 공공기관 홈페이지가 악성코드를 유포하는 중계 사이트로 악용될 우려가 컸다. 일부 기관은 테스트 파일을 그대로 남겨둬 DB 정보를 노출했으며 소스코드 노출도 심각했다. 정부가 보안서버 보급 정책을 펴고 있는 가운데 아직도 보안 서버 인증서를 받지 않은 기관들이 스니핑 공격에 무방비로 노출돼 개인정보 유출 문제를 드러냈다.

　서 의원은 “이번에 취약점이 드러난 15개 기관을 중심으로 내년 초 다시 모의해킹을 시도해 보안 상태를 재점검할 것”이라며 “이번 결과는 공공기관의 정보보호 실태와 수준을 파악하고 정책을 세우는 자료로 활용할 것”이라고 말했다. 그는 또 “올해 우리나라의 정보화 예산 가운데 정보보호 예산은 4.6%(730억원)로 추정되며, 이는 미국 등 선진국의 8%에 비해 턱없이 낮다”며 정보보호 예산 확대를 촉구했다.

　 김인순기자@전자신문, insoon@