경기도 산하 공공기관 정보보안 수준이 예상보다 훨씬 심각한 것으로 나타났다. 대부분 기관이 정보보안 정책을 세우지 않거나 정보보호 관리규정조차 마련하지 않고 있었다. 도 차원 체계적인 대응책 마련이 시급해 보인다.
경기도가 최근 26개 산하 공공기관을 대상으로 정보보안 수준을 점검한 결과 자금을 다루는 경기신용보증재단과 경기도시공사 정도만 비교적 높은 수준을 보였고, 나머지 24개 기관은 평균 20%에도 못 미치는 심각한 수준인 것으로 나타났다.
도는 기관별 보안관리 현황을 △정보보안정책 △정보자산관리 △인적보안 △사이버위기관리 △전자정보보안 △정보시스템 △개인정보보호 등 7개 분야로 구분, 총 32개 점검항목을 정해 점검했다. 점검은 질문지를 이용해 기관별로 체크를 하도록 한 뒤 현장 실사를 하는 방법을 사용했다. 점검 결과는 분야별로 어느 정도 수준으로 관리하고 있는지를 퍼센테이지로 표시했다.
그 결과 26개 공공기관은 평균 23% 수준에서 정보보안 관리를 하고 있었다. 경기신보는 모든 분야에서 골고루 높은 수준을 보였고, 경기도시공사는 정보보안 정책과 사이버위기관리 등은 미흡했지만 대체로 양호한 관리 수준을 보였다.
나머지 24개 기관은 매우 심각했다. 4개 기관은 모든 분야에서 제로 상태였고, 5개 기관은 1~3개 분야에서만 겨우 생색내는 수준에서 관리하고 있었다. 분야별 점검 항목에 따라서는 부분적으로 적용하는 것으로 볼 수 있는 경우도 있었다.
대표 홈페이지 구간을 암호화(SSL)하지 않은 채 운영하거나 홍보담당자가 홈페이지 관리 전산업무를 병행하는 기관도 적지 않았다. 보안 전담 조직과 보안담당자 지정이 가장 시급한 것으로 지적됐다. 보안업데이트 서비스가 중단된 윈도XP와 같은 운영체제를 그대로 사용하는 기관도 있었다. 이 밖에 무선 인터넷 사용을 측정한 결과 보안설정이 되지 않은 무선 AP도 다수 존재하는 것으로 나타났다.
분야별로는 사이버위기관리 분야가 가장 취약했다. 경기신보를 제외하고는 2개 기관만이 각각 17%와 33% 수준에서 관리했고, 나머지 23개 기관은 아무런 조치도 취하지 않고 있었다. 외부에서 마음만 먹으면 언제든지 쉽게 해킹할 수 있는 상태였다.
정보보안정책 분야도 평균 12% 수준으로 매우 부실했다. 14개 기관이 정보보호 관리 규정이나 계획이 전무했고, 5개 기관은 10%에도 못 미치는 수준이었다.
산하 공공기관들이 가장 많은 관심을 보인 개인정보보호 분야도 평균 43% 수준에 그쳤다. 그나마 80% 이상 높은 수준으로 관리하고 있는 기관이 8곳이나 됐다. 물론 아무런 관리를 하지 않는 기관도 9개에 달했다.
서보람 경기도 정보화기획관은 “기관별 수준진단 결과는 해당 기관에 통보해 수정하도록 하고 하반기에 재점검할 예정이다. 내년부터는 기관평가에 반영해 기관장들이 신경 쓸 수 있도록 하겠다”며 “기관장이 신경을 쓰면 지금처럼 엉망인 결과는 나오지 않을 것”이라고 설명했다.
<분야별 공공기관 적용 현황>
김순기기자 soonkkim@etnews.com