국회 과학기술정보통신위원회 및 과학기술부가 주요 18개 출연연구기관을 대상으로 실시한 정보보안 실태 조사 결과는 과학기술 연구기관의 낮은 보안의식을 대변해 주는 것이라 할 수 있다. 홈페이지 위·변조, 악성코드 삽입 등 최근 빈번하게 발생하는 웹 해킹에 능동적으로 대응할 정도로 정보보안 시스템을 충실하게 갖춘 기관은 3곳에 불과하고, 그나마 해커들의 집단 공격을 탐지할 수 있는 위협관리시스템이나 가상사설망(VPN)·웹보안솔루션을 하나 정도 갖춘 기관도 2∼3곳에 그쳤다. 매년 발생하는 출연연구기관들의 해킹사건이 결코 우연이 아니었음을 보여주기에 충분하다.
여느 국가·공공기관처럼 침입탐지·차단·방지시스템과 바이러스 백신 등 기본 솔루션은 모두 구비하고 있으나 백신 프로그램이나 윈도를 자동 업그레이드하는 패치 관리시스템을 보유한 기관은 전체의 33%인 6곳뿐이다. 과학기술 연구기관의 정보보안이 얼마나 취약한지를 짐작하게 한다. 과연 과학기술 연구기관으로서 정보보안의 중요성을 제대로 인식하고 있는지 의구심마저 든다. 해킹 사고 대다수가 별도의 비용이 들지 않는 보안 패치나 백신 업데이트를 소홀히 한 데서 비롯된 것이라는 점에서 보면 더욱 그렇다.
조사 대상 출연연들의 보안 관련 인력이나 예산을 보면 정보보안 마인드에 심각한 문제점이 있음을 지적하지 않을 수 없을 정도다. 정보보호 전담조직은커녕 대부분 1∼2명이 전체 보안을 담당하고 있다니 그저 놀라울 뿐이다. 정보보호 예산도 72%의 기관이 전체 R&D 예산의 0.1%에 불과한 1억 원 미만이고, 그것도 한 해 예산이 600만원에 불과한 기관이 있다는 사실만 보더라도 출연연의 보안 불감증이 상상 외로 심각함을 알 수 있다.
이런 사실이 본지에 보도되자 정부가 출연연별로 정보보호 강화를 위한 시스템을 구축하고, 관련 예산도 기본사업비의 1% 정도를 고정적으로 확보하도록 하는 방안을 강구하겠다고 했다. 또 주기적으로 보안실태를 점검, 대응방안을 모색하기 위해 차관급을 위원장으로 하는 ‘과학기술정보보호심의위원회(가칭)’를 구성하겠다고 밝혔다. 늦었지만 그나마 다행이다.
우리는 해킹이나 바이러스 감염 피해가 생길 때마다 부랴부랴 사후약방문식으로 대처하는 악습이 있다. 출연연도 마찬가지로 해킹이 발생할 때마다 보안 시스템을 보강하겠다고 강조하지만 여전히 보안에 취약점이 많다는 것은 그간 땜질식 처방에 그쳐 왔다는 것으로밖에 볼 수 없다. 이번만은 달라져야 한다. 출연연의 정보보안체계 전반에 대한 보완 작업이 필요하기 때문이다.
어느 연구기관이든 정보보호가 중요하지만 과학기술 연구기관에 있어서 정보보안은 생존과 직결될 정도로 중요하다. 지금과 같은 치열한 기술경쟁시대에는 유형의 물질적 재산보다 무형의 노하우·정보·기술이 생존과 경쟁의 핵심 무기가 되고 있기 때문이다. 허술한 보안으로 자칫 해킹을 당해 출연연에서 힘들게 개발한 첨단기술 정보가 유출될 경우 단순히 개발비만 손해 보는 게 아니라 첨단기술의 상용화에 따른 로열티 등 금전적 손실은 물론이고 국가경쟁력까지 떨어질 수 있는 것이다. 최근 인터넷을 통해 일본 정부 비밀자료가 대거 유출된 것은 남의 일이 아니다. 그만큼 첨단기술 개발보다 개발된 기술의 보안이 더 중요한 상황이다.
이런 점을 감안하면 전문가들의 지적대로 웹 해킹 피해를 최소화하기 위해서라도 웹 해킹대응 전문시스템을 구축해야 한다. 이와 함께 해킹피해가 발생하지 않도록 일상적인 감시활동에 소홀함이 없어야 할 것이다. 과기 연구기관의 정보보안에 대한 인식도 달라져야 하고 투자와 인력양성에도 인색하지 말아야 한다. 이제는 그야말로 ‘뛰는 해킹기술, 기는 보안기술’이라는 지적을 받아서는 안 될 것이다.