국가정보원과 행정안전부가 의욕적으로 추진하고 있는 공공기관 망분리 사업이 도입 기관의 보안 의식 미비와 사후 관리 부실로 인해 제대로 빛을 발하지 못하고 있다는 지적이 나왔다.
특히 자원 낭비라는 지적에도 불구, 공무원 1인당 업무용과 인터넷용 2대 PC 도입을 강행했으나 막상 망분리를 한 공공기관이 허술한 보안정책을 운영해 '도루묵'이라는 비난을 받고 있다.
올해까지 행정안전부, 교육과학기술부 등 주요 부처 및 공공기관 38곳이 망분리 사업을 완료, 향후 각 지자체로 확대될 전망이나 허술한 사후 관리로 국가의 막대한 예산이 낭비될 지 모른다는 위기감이 고조되고 있다.
◆"형상 무단 변경한 정보보호 제품 사용"
국정원 관계자는 "공공기관 망분리 설계·구축 시 고려해야 할 사항이 많지만, 상당수 공공기관이 보안을 고려하지 않은 채 시스템을 관리하고 있다"며 "데이터베이스(DB) 손상 수법인 SQL인젝션 등 이미 10년전부터 공개된 취약점에도 무방비 상태"라고 꼬집었다.
특히 공공기관이 내외부망 네트워크를 새로 증축할 때, 접점이 발생하게 되는데 이에 대한 고려를 하지 않는 기관이 상당수라는 지적이다.
공무원 1인당 업무용과 인터넷용으로 2대의 PC를 사용케 한 것도, 인터넷을 통한 해킹 위협을 원천 차단하기 위해서인데, 편의성을 이유로 업무망으로 인터넷을 연결해 사용하는 경우가 종종 있다는 것.
또 개발용역업체에 보안관리를 맡길 경우 개발 계약 시점부터 용역 완료 시점까지 보안사고에 주의해야 하지만, 제대로 되지 않아 최근 이로 인한 보안 사고가 급증하고 있다는 설명이다.
특히 공공기관 네트워크 구축 시 보안 사항을 고려하지 않는 경우도 적잖다는 지적이다.
국가 공공기관은 정보보호제품 도입 시 반드시 국정원의 국제공통평가기준(CC)인증을 획득한 제품을 사용해야 하는데, 일부 공공기관의 경우 제품의 형상을 무단 변경한 제품을 사용하고 있다는 것.
실제 최근 보안USB 등 일부 업체가 자사 제품을 공공기관에 공급하면서 무단 형상 변경한 사실이 적발, 보안적합성 검증필 목록에서 삭제당하는 수모를 겪기도 했다.
아울러 방화벽 등 정보보호 제품은 각 기관별로 환경 설정을 하는데, 일부 기관은 모든 설정을 '허용'해 보안 시스템을 구축 하나마나인 상태인 경우도 발생하고 있다.
◆"사후 관리 위한 가이드라인 조차 없어"
부적합한 접근권한 설정과 허술한 계정관리도 끊임없이 지적되는 문제다.
중요 공공기관임에도 불구하고, 시스템을 관리하는 관리자의 비밀번호를 admin, admin1234, 기관 영문 명칭 등으로 설정하는 경우가 다반사라는 것.
무선랜 취약점을 고려하지 않은 채 사용하다 낭패를 본 경우도 있다.
국정원 관계자는 "공공기관은 얼리어답터가 아니다"며 "가상사설망(VPN) 등을 통해 통신자료를 암호화하고, 중요자료 보관시 반드시 암호화해 기밀정보 유출을 사전에 방지해야 한다"고 강조했다.
망분리 사업이 추진중이지만, 보안사고가 끊이지 않는 데는 허술한 사후 관리 체계가 한몫 하고 있다는 주장이다.
현재 망분리 사업을 시행한 기관은 별도의 사후 관리 감독을 받고 있지 않다. 망분리 사업을 추진중인 국정원과 행안부는 도입 관련 일부 지침만 내리고 있을 뿐, 사후 관리는 도입 기관 책임으로 떠넘기고 있는 상황.
한 보안전문가는 "망분리 사업이 성공적으로 완료되기 위해서는 사후 관리 체계 강화가 필수"라며 "망분리 사업 후 각 공공기관이 염두할 적절한 보안정책 가이드라인조차 없다는 것은 주먹구구식 사업이라는 증거"라고 꼬집었다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기