경기도 중소기업 지원사업을 총괄하는 공공기관인 경기중소기업종합지원센터 홈페이지 일부가 해킹됐다. 경기도는 산하 공공기관 대상 긴급 보안점검 및 대응방안 마련에 나섰다.
하지만 도 자체 보안 예산과 인력이 턱없이 부족한 형편인데다 산하 시·군과 공공기관의 보안 인식이 낮아 골머리를 썩고 있다. 근본적인 보안 강화 정책 마련이 시급하다는 지적이다.
20일 경기도에 따르면 지난주 경기중소기업종합지원센터에서 운영 중인 홈페이지 가운데 G-신제품개발센터 홈페이지(www.gds.or.kr)가 해킹됐다. 해당 홈페이지에는 위·변조 흔적이 남아 있었고 악성코드가 삽입돼 엉뚱한 사이트로 이동되는 현상이 발생했다가 하루 만에 복구됐다.
아직까지는 이렇다 할 피해는 발견되지 않은 것으로 전해졌다. 하지만 해당 사이트가 창업 및 신제품 개발을 준비 중인 기업들이 이용하는 곳이라 정보 유출 피해 여부는 조사가 필요한 상황이다.
도는 철저한 조사를 실시해 피해 여부를 확인할 계획이다. 이기오 도 정보보안정책담당은 “경기중기센터는 보안장비 관리 체계가 허술하고 데모버전 SW를 사용하는 등 수십 가지 항목에서 총체적 관리부실이 지적돼 시정조치를 강구토록 했었다“며 “도청 행정망을 사용하지 않는 공공기관이라 직접 관리하지 못하는 사각지대”라고 전했다.
도는 지난해 기초 지자체 산하기관에서 보안 인식 부재와 관리 허술로 인한 보안사고가 속속 발견됨에 따라 지난주 4개 산하 공공기관을 샘플링해 긴급 보안 점검을 실시했다. 지난해 실시한 점검에서는 창보센터 홈페이지 해킹 및 지역센터 홈페이지 악성코드 감염 등 해킹이 이어졌다. 심지어 내부행정망으로 민원서비스용 무선망(WiFi)을 구성해 악성 트래픽이 유입되도록 한 사례도 있었다.
이번 경기중기센터 해킹을 계기로 다음 까지 나머지 19개 공공기관에 대해서도 보안점검을 실시할 예정이다. 각 산하 지자체와 공공기관에 공통으로 적용할 수 있는 평가지표를 마련해 보안 평가를 정례화하고 평가 결과를 기관장 평가에 반영하는 방안을 모색하기로 했다. 공공기관에 CSO 지정을 의무화하는 방안도 논의할 예정이다.
이기오 팀장은 “이번 기회에 보안 사각지대에 놓인 산하 공공기관은 물론이고 지난해 생활안전 관련 정보보안 사고가 잇따랐던 기초 지자체 산하 공공기관까지 포괄적으로 관리할 수 있는 정보보안 관리체계를 만들어야 한다”면서도 “문제는 예산과 인력”이라고 어려움을 토로했다.
실제로 경기도는 올해 정보보안 분야 예산이 총 11억원에 불과해 산하 공공기관과 지자체 산하기관까지 돌볼 여유가 전혀 없는 형편이다. 올해는 사이버침해대응센터 운영 및 백신 구입 등 기본적인 운영사업 외에 5억원 규모 개인정보유출대응체계 구축사업만 추진한다. 지난해 7월 이후 비어있는 사이버침해대응센터 운영 직원도 6개월째 충원하지 못하고 있다.
김순기기자 soonkkim@etnews.com
