공공기관, 보안 허점 방치…책임자가 없다

보안업계 "CISO 지정 의무화 필요"

컴퓨팅입력 :2020/10/14 10:37    수정: 2020/10/14 13:24

공공기관이 사이버공격에 취약한 보안 허점을 방치하는 가운데, 보안 책임자 지정 의무화가 이같은 문제를 해소할 수 있다는 보안업계 목소리가 나왔다.

민간 분야에는 최고정보보호책임자(CISO) 의무 지정 제도가 도입돼 있다. 일정 규모 이상의 정보통신서비스 관련 기업은 CISO를 지정하고 이를 과학기술정보통신부 장관에게 신고하도록 돼 있다.

그러나 공공기관에는 이런 제도가 없다. 때문에 총 책임자 없이 IT 관련 부서에 사이버보안을 맡겨두는 실정이다. 결과적으로 보안 문제 해결도 미진할 뿐더러, 타당한 이유 없이 공공·민간 간 규제 형평성이 없는 제도 운영을 지속하고 있다는 비판이 제기돼 왔다.

(사진=미국 지디넷)

■"공공 웹사이트 절반이 보안 취약"…해킹 사고도 이어져 

지난 7일부터 실시되는 올해 국정감사에서는 공공기관이 보유한 보안 문제 및 사이버공격 피해 현황 등이 공개됐다.

국회 행정안전위원회 소속인 김영배 더불어민주당 의원은 공공 웹사이트 1천280개를 전수조사한 결과, 상당수가 보안에 취약한 HTTP 사이트로 나타났다고 밝혔다. 김영배 의원실에 따르면 폐쇄된 70개 홈페이지를 제외한 1천210개 사이트 중 583개 사이트가 이같은 경우에 해당됐다. 이 중에는 국방부 채용 사이트, 대법원 통합관리 시스템 사이트도 포함돼 있었다.

HTTP와 HTTPS는 웹사이트 이용자와 웹 서버 간 통신을 주고 받게 해주는 프로토콜이다. HTTPS는 주고 받는 데이터를 보안소켓계층(SSL)을 통해 암호화해줌으로서 보안을 강화했다. 정부는 수 년 전부터 정부 SSL(G-SSL) 인증서를 통해 공공 웹사이트를 HTTPS로 전환하려 했으나, 웹브라우저 운영사들이 G-SSL 인증서를 받아들이지 않았다. 인증서 발급 관리 과정이 부적절하다고 판단한 것이다.

보안이 취약하다는 것을 증명하기 위해 김 의원은 국정감사 현장에서 직접 패킷 분석 프로그램 '와이어샤크'를 이용해 HTTP 기반인 대법원 사이트에 접근, 계정정보를 입력하지 않고 로그인 하는 과정을 시연하기도 했다.

공공기관 보안 문제가 지속되는 상황에서, 해커의 사이버공격 시도 건수는 증가했다. 실제 정보가 유출되는 사고도 발생했다.

박완주 더불어민주당 의원실에 따르면 지방자치단체를 대상으로 한 해킹 시도가 최근 5년간 매년 늘어났다. 지난 2015년 기준 8천797건 대비 약 2.5배까지 증가, 작년 기준 2만2천219건을 기록했다. 박완주 의원은 "지자체를 경유해 중앙 부처 시스템까지 해킹 위협이 있을 수 있다"고 지적했다.

이 기간 동안 보안 사고도 13건 발생했다. 중앙행정기관 대상으로는 34건의 보안 사고가 있었다.

출처=박완주 더불어민주당 의원실

■보안업계 "민간보다 솔선수범하는 모습 보여야" 

국회 입법조사처는 '2020 국정감사 이슈 분석' 보고서에서 공공·행정기관에 대한 보안 강화책으로 CISO 지정 의무화를 제시했다.

보고서에서는 "사이버침해에 효과적으로 대응하기 위해 국가 사이버안보 거버넌스 정립과 법제 정비 등을 추진할 필요가 있다"며 "공공·행정기관에 정보보호책임관(CISO) 지정을 의무화하는 방안을 검토할 수 있다"고 언급했다.

관련기사

공공 분야 CISO 지정 의무화는 지난 20대 국회에서도 논의된 사안이다. 당시 김병관 더불어민주당 의원과 송희경 자유한국당 의원은 이같은 내용을 담은 전자정부법 개정안을 국회에 제출했지만 별다른 논의 없이 폐기됐다. 21대 국회에선 관련 법안이 발의되지 않은 상태다.

이동범 한국정보보호산업협회(KISIA) 협회장은 "정부가 정보보호 공시 제도를 강화하는 등 민간에서의 보안 투자 확대를 추진하는 반면, 정작 공공기관은 정보기술 업무를 종합적으로 담당하는 최고정보책임자(CIO)에 보안 업무도 떠넘기는 경우가 많다"며 "특히 보건 분야 등 민감정보를 가장 많이 보유한 조직이 공공기관인 만큼 정보보호책임관 지정을 의무화하는 등 솔선수범하는 모습을 보여야 한다"고 강조했다.