구멍뚫린 IT강국… 공공기관 67% 정보보호 전담직원 全無

입력 2009년 7월 9일 03시 00분

좋아요: 개

안철수연구소, 국가정보원, 금융기관 사이트 등으로 디도스 2차 공격이 확대된 8일 서울 금천구 가산동 LG데이콤 통합관제센터에서 직원들이 인터넷 트래픽 동향을 주의깊게 살펴보고 있다. 홍진환 기자

■ 공공분야 695곳 정보보호 실태 살펴보니…

전담부서 운영기관 16.6%뿐
작년 사이버침해 7965건
주민번호 유출 등 2차범죄 우려
관련부서 예산은 제자리 수준

‘정보기술(IT) 강국’이 맞나 싶을 정도였다. 청와대 국방부 등 보안이 생명인 국가기관의 홈페이지도 단순한 공격에 속수무책으로 당했다. 하지만 본보가 8일 단독 입수한 ‘공공분야 정보보호 실태조사’ 보고서를 보면 오히려 이런 일이 일어나지 않는 것이 이상할 정도다. 정부 부처와 지방자치단체를 포함한 공공분야에서 정보보호 업무를 전담하는 직원은 기관당 평균 0.7명에 그쳤고 한 명도 없는 곳이 67.5%였다. 정보보호에 대한 기본적인 인식 수준부터 문제였다.

○ 공공부문, 정보보호 인식 낮다

이 보고서는 올해 1월 19일∼2월 2일 행정안전부가 중앙 행정기관 및 지방자치단체(소속기관 포함) 393곳과 공공기관 302곳 등 695곳을 대상으로 벌인 설문조사 결과를 바탕으로 작성됐다. 행안부는 온라인과 개별 면접 등의 방법으로 조사를 벌였다. 민간 부문은 매년 정보보호 실태조사를 하고 있지만 공공기관에 대한 조사는 이번이 처음이다. 보고서는 4월 21일 국무회의에 보고됐다.

보고서에 따르면 전체 조사 대상 가운데 정보보호 전담 부서를 운영하는 공공기관은 16.6%에 불과했다. 전담 부서를 운영하더라도 인원이 평균 2.8명에 불과했다.

이번 사태처럼 단순히 홈페이지가 열리지 않는 정도면 피해 규모가 그나마 ‘작은’ 편이라고 할 수 있다. 정말 심각한 문제는 공공부문의 정보보호에 대한 인식이 근본적으로 바뀌지 않으면 민감한 개인정보가 무방비로 노출될 가능성이 얼마든지 있다는 점이다.

공공기관의 인터넷 사이트에는 해당 기관이 보유한 다양한 개인정보 파일이 존재한다. 이들 파일이 유출되면 범죄 등에 악용될 가능성도 배제하기 어렵다. 공공기관이 보유한 개인정보 파일을 전수 조사한 결과 지난해 말 현재 2만3652개 기관에서 총 32만2357개 파일을 보유하고 있는 것으로 나타났다.

○ 공공부문 사이버 사고 계속 늘어

지난해 8월 교육과학기술부 홈페이지에서 사이버교육 수료자 7617명의 개인정보가 노출되는 사고가 발생했다. 비슷한 시기 전북도교육청 홈페이지와 병무청 홈페이지에서도 각각 교원 4만 명과 공직자 3만 명의 주민등록번호 등 개인정보가 유출됐다. 이처럼 공공기관에서 개인정보 유출 사고가 빈발하고 있다.

국가기관과 지자체, 산하기관 등 공공 부문에서 발생한 사이버 보안 관련 사고 건수는 2005년 이후 지속적으로 증가하고 있다. 2007년 7588건에서 지난해 7965건으로 5.0% 늘었다. 이에 비해 기업과 대학 등 민간분야의 사이버 보안 관련 사고는 2007년 2만7728건에서 지난해 2만4409건으로 12.0% 감소했다. 2005년 4만9726건에 비하면 3년 만에 절반 수준으로 떨어졌다.

보안업계 관계자는 “대형 인터넷 쇼핑몰 등 민간 부문에서 일어난 사이버 사고는 해킹처럼 고의적인 공격에 따른 것이 많지만 공공 부문은 개인 정보관리자들의 관리 소홀 등 부주의 탓으로 발생할 때가 많다”고 지적했다.

○ 정보보호 의지 있나

정보보호에 대한 당국의 인식은 편성된 예산에서도 드러난다. 보고서에 따르면 정부 부처 전체의 정보보호 관련 예산은 지난해 1607억5500만 원에서 올해 1742억4500만 원으로 소폭 증가했다. 그러나 정작 공공 부문의 정보보호를 담당하는 행정안전부는 지난해 580억5400만 원에서 올해 446억9200만 원으로 예산이 줄었다. 경찰청의 정보보호 예산도 지난해 33억9500만 원에서 29억6200만 원으로 감소했다. 정부 당국자는 “정보 보호에 대한 정부 차원의 관심이 줄어든 것도 이번 사태의 원인 가운데 하나”라고 말했다.

민간 부문의 정보보호를 담당하는 방송통신위원회는 대국대과제에 따라 조직을 개편하면서 정보보호를 담당하는 과를 폐지했다. 직제에도 없는 네트워크정보보호팀이 신설됐지만 정식 직제에 포함되지 않기 때문에 팀장에게 결재권이 없는 상황. 과거 정보통신부 시절에는 국장급인 정보보호심의관이 정보 보호를 전담했다.