정보보안 전문가들은 정부부처의 ‘희박한’ 정보보안 의식이 가장 큰 문제라고 지적한다. 정보보안 예산을 별도로 편성한 기관도 5개에 불과했다.
인터넷 보안 전문업체에서 일하는 연구원 A씨는 2006년 11월 한 정부기관의 보안담당자에게 이 같은 말을 들어야 했다. 이 기관의 대외비 공문서가 인터넷 검색사이트에서 검색되는 것을 발견한 A씨가 해당기관에 제보하는 과정에서 들은 대답이었다. A씨는 “해킹을 한 것도 아니잖아요. 단지 보안에 좀더 신경 쓰라고 국민의 한 사람으로서 지적한 것뿐인데…. 이런 반응을 보이는 것이 놀랍고 이해할 수 없습니다”라며 흥분을 감추지 못했다.
낮은 보안의식이 가장 큰 문제
정부기관의 낮은 보안의식이 개선될 기미를 보이지 않는다. 취재 중 만난 정보보안 관련 전문가들은 정부기관의 보안담당자들에 대해 “무엇보다 낮은 보안의식이 문제”라고 입을 모은다. “한 해에 1000억원 가까운 예산을 정보보호에 쏟아 붓는다는 게 믿어지지 않는다”는 비아냥거림도 나온다. 이들의 비판은 정말 이유 없는 아우성일까?
정부는 2006년 917억9000만원에 이어 2007년에도 1009억8000만원을 국가 정보보호(보안) 사업에 투자하기로 결정했다. 부처별로는 정보통신부(이하 정통부)에 배당된 몫이 740억8300만원으로 전체의 73%를 차지한다. 정통부는 이 예산을 해킹바이러스 대응체제 구축(92억원), 정보보호체계 강화(58억5000만원), 정보보호진흥원 운영지원(89억7500만원) 등에 쓸 예정이다.
그러나 예산처 자료를 입수 확인한 결과, 대부분의 정부기관은 정보보호 관련 예산을 별도 편성조차 하지 않는 것으로 나타났다. 별도의 보안예산을 편성한 기관은 법무부, 과학기술부, 정보통신부, 경찰청, 문화관광부 등 5곳에 불과했다. 전체 정보보호 예산 대부분이 이들 5개 기관에 집중된 것.
이들 5개 부처를 제외한 ‘각 부처 정보화 부문 예산 합계’(182억7900만원)는 예산처가 임의로 책정한 것이었다. 예산처의 한 관계자는 “대부분 기관들이 정보보안, 해킹 예방 등을 위한 예산을 별도 편성하지 않는다. 필요하면 정보화 예산에서 가져다 쓰는 식이다. 그러다 보니 예산처에서는 각 정부기관이 인터넷 보안, 개인정보 보호에 얼마를 쓰는지 정확한 금액을 알 수 없다”고 말했다. 민간 보안전문가들의 비판에 충분한 근거가 있다는 것이 밝혀진 셈이다.
정부기관의 정보보안 업무를 총괄하는 국가정보원 산하 국가사이버안전센터의 한 관계자는 각 정부기관 보안담당자들의 ‘희박한’ 보안의식을 지적하면서 “정보보안 업무를 부차적인 일, 한직(閑職)으로 생각하는 데서 기인하는 현상”이라고 설명했다.
“어떤 기관의 경우, 해킹이 진행되고 있다는 탐지 내용을 알려준 뒤 해당 IP주소가 어느 기관의 것인지를 문의하고 대책 수립을 권고했더니 ‘알고 싶으면 공문을 보내라. 통신비밀보호법상 (해킹이 이뤄진) 기관을 알려줄 수 없다’고 답변해 아무 조치를 취하지 못한 적도 있다. 보안담당자들의 복지부동 자세를 단적으로 보여주는 사례가 아닌가 싶다.”
“보안책임자에 아이디와 패스워드 지급이 전부”
그러면 정부기관들은 1000억원이 넘는 정보보호 관련 예산을 어디에 쓰는 것일까. 예산처를 포함한 정부부처에 물어봤으나 장비, 시스템 구입 등 예산의 구체적 사용처에 대한 답변을 들을 수 없었다. “기관이 알아서 집행하는 금액이 많아 구체적으로 알 수 없다”(예산처)거나 “규모가 크고 항목이 많아 일일이 확인해줄 수 없다”(정통부)는 대답만 돌아왔다.
다만 정부기관 두세 곳을 상대로 정보보안 컨설팅 사업을 하고 있는 민간 보안업체 B사의 한 전문가와 국가보안기술연구소를 운영하는 한국전자통신연구원(ETRI) 관계자 등을 통해 정부부처의 보안 관련 예산 사용 실태를 일부나마 확인할 수 있었다.
“정부기관들은 대부분 인터넷의 속도를 높이고 효율적으로 이용하는 데만 관심을 쏟는다. 정보보안을 인터넷의 속도나 효율성보다 더 중요하게 인식하는 기관은 지금껏 보지 못했다. 정부부처들의 예산 집행을 보면 주로 기술적 보안(DB·시스템 등 장비보안)과 물리적 보안(재해에 대비한 장비보안)에 집중돼 있다. 장비를 구매하는 식으로 예산을 써야 돈 쓴 흔적이 남는다고 생각하는 전형적인 관료적 행태다. 반면 보안 컨설팅이나 직원들을 상대로 한 보안의식 강화교육(관리적 보안) 등 무형의 정보보안에는 무관심하거나 매우 소극적이다.”(B사 관계자)
“상당수 정부기관들이 전산망을 구축하거나 확대하면서 정보보안 관련 업무와 예산을 필수사항에 넣지 않는 경우가 많다. 국가정보원 등으로부터 보안지도를 받고 있지만 이마저도 상당히 형식적이다. 정보보안의 필요성을 인식하는 보안담당자도 별로 없고, 그 중요성을 가르쳐줘도 듣지 않는다. 당장 각 부처 정보화 예산 중 보안 관련 예산이 차지하는 비율만 봐도 이 부분이 얼마나 취약한지 알 수 있다.”(ETRI 관계자)
실제로 취재 과정에서 만난 한 정부부처 보안책임자는 “보안책임자로 발령받고 지난 8개월간 관리자 아이디와 패스워드를 받은 것 외에 어떠한 업무 인수인계도 받은 바 없다. 시스템 구축, 관리는 외부업체가 하고 있어 잘 모른다”고 말했다. 또한 ETRI 관계자의 지적대로 ‘2006년 정통부 행정업무 분야의 정보화 예산’(51억6400만원)의 경우, 이 중 2억2200만원(4.3%)만이 정보보호 관련 부문에 배정돼 있는 것으로 나타났다.
이에 대해 정통부 예산 관련 부서의 한 관계자는 “한정된 예산으로 사업을 하다 보니 세세한 부분까지 챙기지 못하는 게 사실이다. 정보보안에 관심을 갖고 업무를 추진한 지 얼마 되지 않아 아직은 장비 구입에 많은 예산을 써야 할 상황”이라고 입장을 밝혔다.
|