|
국정원은 이들 7개 기관·지자체가 미흡 등급을 받은 이유를 공개하지 않았다. 보안 조치가 취약 요인을 공개할 경우 악용될 우려가 있기 때문이다. 다만 이번 조사에서 정보시스템에 대한 기술적 보안 조치가 주 문제점으로 꼽혔던 만큼 이와 연관돼 있을 가능성이 크다는 분석이다.
국정원은 2007년부터 상반기에는 공공기관, 하반기에는 중앙행정기관과 광역지자체를 대상으로 매년 1회 정보보안 관리 실태 평가를 진행하고 있다. 평가지표는 △관리적 보안 △기술적 보안 △위기 대응 역량 등 3개 분야로 이뤄져 있으며 세부적으로 41개 항목, 101개 질의로 구성됐다.
|
평가 결과 전담인력·보안감사 시행 등 관리적 보안 수준은 올라갔지만 절반 가까운 기관이 △서버·네트워크 등 정보시스템에 대한 비인가자 접근통제 △보안설정 △용역업체 보안관리 등에서 미흡한 것으로 나타났다.
이는 지난해 7월 공개된 공공기관 정보보안 관리실태 평가에서도 동일하게 지적된 부분이다. 국정원은 당시 “절반 가까운 공공기관이 정보시스템에 대한 비인가자 접근 통제가 미흡했고 용역업체 직원 등에 대한 시스템 접근 권한을 차등 부여하지 않은 곳도 2022년보다 늘어났다”며 “윈도 7, 윈도 서버 2008 등 보안 지원이 중단된 운영체제(OS)를 사용하거나 시스템 보안 패치를 적용하지 않는 문제도 발견됐다”고 설명했다.
전문가들은 국가 전체 보안을 총괄할 컨트롤 타워가 필요하다고 입을 모았다. 현 정부의 핵심 공약이기도 했던 ‘사이버 안보청’과 같은 독립된 전담부처를 설치해야 한다는 것이다.
국내 보안 관련 고위 공직자는 “전담 부처, 즉 일반 행정청이 사이버 보안 정책을 총괄하는 것은 물론, 인력 양성이나 기관 사이의 조율, 공공부문 점검 개선 등을 이끌어야 한다”며 “현재 국가안보실이 컨트롤타워 역할을 수행하는 것만으로는 일원화된 추진이 힘들다”고 강조했다.
공공대상 정보보안 관리실태 평가 방식이나 항목을 개선해야 한다는 목소리도 나왔다. 한 보안업계 대표는 “평가에서 실제로 중요한 건 달성하고자 하는 보안 체계가 있는지 여부”라며 “물리적인 보안은 점검과 대응의 간극이 좁지만 사이버 보안은 훈련을 잘한다고 대응 역량이 높아지진 않는다”고 지적했다.
그러면서 “백신이나 방화벽 등 설치만으로도 충분했던 과거와는 달리 현재는 대비를 잘해도 공격자의 움직임을 예측하거나 주시하고 있지 않으면 피해를 입을 수 밖에 없다”며 “단순한 대비에 대한 점검을 넘어 실질적으로 대응할 능력이 있는지 등을 더 상세하게 분석하는 방식이 필요하다”고 덧붙였다.
정보보안 평가에 대한 등급제가 필요하다는 의견도 제기됐다. 한 업계 관계자는 “수많은 기관에 대한 모의 침투 테스트, 운영 인력이나 현황 등을 제대로 수행하려면 인력과 시간이 더 필요하다”며 “그러나 국정원 인력을 몇 백명 늘리는 건 적절치 않으니 국가 공공기관에 대한 실태점검 권한도 민간에 부분적으로 이양해 심도 있는 점검과 보안 산업 활성화 등을 이뤄야 한다”고 강조했다.