전자정부시스템 감리, 허울뿐인 '보안점검'

일반입력 :2013/02/25 08:22

손경호 기자

전자정부시스템 구축시 감리 단계에서 보안이 허술하게 관리되고 있어 문제로 지적되고 있다. 해당 공공기관이 시스템 구축 뒤 점검 단계에서 최소한의 비용을 들이려 하기 때문이다. 정부는 감리 규정을 통해 보안을 유지해야 한다는 내용을 제시하고 있으나 실제로는 취약점 분석 프로그램을 돌려보는 수준에 그치고 있는 실정이다.

개인정보보호법, 주민등록번호수집 제한 등 정보보호를 위한 정책들이 강화되고 있는 시점에서 정작 정부가 구축한 정보시스템 보안에 대해서는 철저한 검증이 이뤄지지 않고 있는 것이다. 감리법인들은 보안 분야를 전문적으로 다루기에는 비용이나 인력면에서 한계를 느끼는 경우가 많다고 하소연한다.

25일 행정안전부 및 한국정보화진흥원(NIA) 관계자들에 따르면, 국내 정보시스템 사업에 대한 감리과정에는 보안성에 대한 점검을 요구하는 항목이 포함돼 있다. 그러나 익명을 요구한 국내 감리법인 관계자는 규정은 있으나 보안의 어떤 부분을 구체적으로 다뤄야 하는지에 대해서는 아직 부족하다고 귀뜸했다.

정보시스템에 대한 감리는 정부가 발주한 사업이 IT서비스회사를 통해 구축된 뒤 제대로 구현되고 있는지를 제 3자를 통해 점검하는 과정이다. 공공에서 발주한 사업은 의무적으로 정보시스템에 대한 감리를 받게 돼있다. 문제는 보안이 별도의 항목없이 서류상으로만 관리되고 있다는 점이다.

지난해 3월 초에 개정된 전자정부법 제57조 제5항에 따른 정보시스템 감리기준에는 보안 관련 사항에 대해 국가정보원의 지침에 따라 보안성 검토 등 보안대책의 적정성에 대해 평가를 해야한다고 명시했다. 현재 국정원은 정보보호와 관련해 CC인증제도를 운영 중이다.

정보시스템 감리는 실제 시스템이 문제없이 구현되고 있는지를 점검한다는 점에서 CC인증을 받은 솔루션이나 장비를 사용했다고 해서 반드시 안전하다고 확신하기는 힘들다. 사전에 보안적으로 문제가 없다고 인정받은 제품들을 사용하더라도 실제 시스템을 운영하는 과정에서는 또다른 보안취약점에 노출될 가능성이 높기 때문이다.

이와 관련 행정안전부 정보자원정책과 김성일 사무관은 규정 상 정보시스템 관리는 시스템의 효율성 향상, 안전성 확보를 위해 진행한다고 명시돼 있다며 보안도 이 요건에 포함된다고 설명했다. 감리 과정에서 로그분석 등의 과정을 통해 보안적인 요소까지 점검을 하도록 돼있다는 것이다.

국내 한 보안컨설팅 회사 대표는 감리가 대개 보안점검항목에 따라 서류상 문제가 없는지를 확인하고, 자동화된 취약점 분석도구를 돌려보는데 그치고 있다며 문제는 보안쪽 감리를 허술하게 했다가 사고가 터지면 더 큰 문제가 발생할 수 있다고 말했다. 이를 예방하기 위해 감리에서는 물론 초기 개발단계에서부터 보안성을 전문적으로 검토하는 작업이 필요하다고 그는 덧붙였다.

이에 대해 박춘식 서울여대 정보보호학과 교수는 그동안 정보시스템 영역에는 보안적인 조치를 반드시 취해야 한다는 명시된 규정이 없었다며 감리법인들도 정보보안의 경우에는 요청이 있을 경우에만 마지못해 수행할 뿐이라고 밝혔다.

관련기사

더구나 기존에 정보시스템 통제, 소프트웨어 품질보증 등의 영역을 주요 평가대상으로 삼다보니 보안항목은 상대적으로 뒷전으로 밀려나게 된다.

현재 전자정부를 포함한 공공기관의 정보시스템에 대한 감리는 주로 시큐어코딩 쪽에 집중돼있다. NIA에서는 지난해 하반기부터 약 100여명의 시큐어코딩 전문 보안진단원을 자격시험을 거쳐 선발했다. 그러나 국내 보안업계전문가는 운전면허가 있다고 모두 운전을 잘할 수 있는 것이 아닌 것처럼 보안의 기술적인 관점에 대해 충분한 검토가 이뤄져야 한다고 강조했다.