과학기술부와 한국과학기술원(KISTI)이 지난 9월 한달간 국책연구기관 및 과학기술 관련 단체 42개에 대한 정보보안 실태를 전면 점검한 결과는 가히 충격적이다.
과기부 산하 국책연구기관 및 과학기술 관련 단체 42개 가운데 KAIST는 백신만으로 보안침해사고에 대비해 왔고, 바이러스 백신조차 없는 기관이 4개나 되는 등 국가핵심연구센터가 외부 보안위협에 고스란히 노출돼 있음이 드러났기 때문이다.
◇KAIST, 백신만으로 보안=국내 최대 이공계 국책 연구대학인 KAIST는 바이러스 백신만으로 침해사고에 대응해 왔다. 또 백신조차 없는 기관 및 단체는 △한국과학기술한림원 △건설기술연구원 △해양연구원 △해양연 부설 극지 연구소 등 4개나 됐다.
이번 실태조사에서 점검한 보안 항목은 △침입차단시스템 △침입탐지시스템 △바이러스 백신 △서버보안 프로그램 등 4가지 부문에서 이뤄졌는데, 4가지 보안 시스템을 모두 갖추고 있는 기관은 불과 7개에 지나지 않았다. 침입차단시스템을 갖춘 기관은 42개 기관 및 단체 가운데 원자력안전기술원 등 29개 기관으로 71% 수준인 것으로 확인됐다.
◇보안 인력 및 교육, 조직도 허점=이번 조사대상 42개 기관 및 단체 가운데 독립적인 보안 조직을 갖춘 기관은 △광주과학기술원 △한국과학재단 △한국한의학연구원 △지질자원연구원 △에너지기술연구원 등 7개 기관에 불과했다. 또한 중앙과학관과 한국과학재단만이 보안인력 전담 조직을 갖추고 있을 뿐 대부분의 기관 및 단체가 보안인력을 겸임으로 운영하고 있었다.
정보보안 교육의 경우는 대부분이 사내 게시판 등을 통해 수시로 또는 연간 1회에서 4회 정기적으로 하고는 있으나 1년 동안 한 번도 실시하지 않는 기관 및 단체도 9개나 됐다.
◇영세한 예산구조 개선이 관건=이번 보안실태 점검결과 기관 및 단체의 보안 예산 배정액을 늘리지 않고는 근본적인 대책을 마련할 수 없다는 것이 중론이다.
실제 한국과학기술정보연구원이 보안에 6억7000만원으로 가장 많은 예산을 쏟아붓고 있을 뿐 10개의 출연연 및 단체는 아예 보안 예산 자체가 없었다. 예산 배정을 해 놓았더라도 1000만원 미만인 곳이 9개 기관이었다.
출연연 보안담당 관계자는 “출연연구기관 대부분이 보안의식만으로 침해사고에 대응할 수는 없다”며 “무엇보다 예산 배정 문제가 선결 과제”라고 말했다.
대전=박희범기자@전자신문, hbpark@