공공기관이나 기업들이 하드디스크드라이브(HDD) 등 정보시스템 내 저장자료 삭제 시 대부분 보안 검증이 제대로 안 된 SW를 사용, 저장매체 보안에 허점이 있다는 지적이다.
더구나 내구연한이 다 된 PC의 경우 자체적으로 HDD를 삭제한 뒤 PC 기증 운동 등을 통해 재사용되고 있어 자칫 중요자료의 유출이 우려되고 있다.
6일 보안관련업계에 따르면 전국의 대다수 공공기관 및 산하기관이나 개인정보를 다루고 있는 대기업 등이 업무 중에 국정원 보안적합성 검증을 받은 삭제SW를 사용하지 않고 있다.
또 이들 기관에서 사용한 PC의 경우 하드포맷 정도로만 자료 삭제를 한 뒤 재사용하고 있어 마음만 먹으면 얼마든지 자료를 복구해 범죄에 악용할 가능성이 큰 것으로 지적되고 있다.
◇공공기관 정보유출 사각지대=대구의 경우 서구청과 북구청, 대구지방국세청, 경일대 등 일부 기관이 보안적합성 검증을 받은 제품을 구매했다. 그러나 정작 대구시는 현재 보안적합성 검증이 안 된 삭제SW 제품을 그대로 사용하고 있으며, 상당수 PC를 하드포맷만 한 채로 PC기증을 통해 외부로 방출하고 있다. 각 시·군에서 중고PC를 받아 한 해 동안 평균 2000대를 소외계층에 보내고 있는 경북도도 검증이 안 된 일반 하드포맷에 의존하고 있다.
현재 대구시와 경북도와 같이 전국 대부분의 지자체가 검증이 안 된 삭제SW를 사용하고 있고, 이렇게 삭제된 저장매체를 부착한 PC가 외부로 매년 줄잡아 3만∼4만대가 방출되고 있다.
◇어떻게 해야 하나=보안업계에서는 공공기관이나 기업의 보안담당자들이 보안에 대한 인식이 낮다는 것이 가장 큰 문제점으로 지적하고 있다.
특히 보안담당자들은 일반적으로 방화벽 등 인터넷을 통한 보안에는 철저한 반면에 PC 방출로 인해 중요 정보가 샐 수 있다는 점에는 인식이 낮아 PC보안을 허술하게 만드는 원인이 되고 있다.
보안업체 관계자는 “복구SW를 인터넷에서 손쉽게 구할 수 있다”며 ““공공기관이나 기관, 기업의 경우 사랑의 PC보내기 운동을 위해 필요한 양만큼의 영구삭제SW를 사용할 것이 아니라 업주 중에도 개인 PC에서 자료를 영구삭제를 할 수 있는 SW를 설치, 사용하는 습관이 필요하다”고 말했다.
한편 정부는 지난해 3월부터 국가기밀이나 중요자료의 유출을 방지하기 위해 저장자료 삭제기준 등이 포함된 정보시스템 저장매체 불용처리 지침을 지정, 시행하고 있다.
대구=정재훈기자@전자신문, jhoon@
