전자정부 사이트들이 행정안전부가 정한 보안관리 항목의 절반 정도만을 적용하고 있는 것으로 조사됐다.
보안관리 항목의 적용여부가 해당 홈페이지의 보안 수준을 나타내는 지표는 아니지만, 보안지표 적용 수준이 50%대라는 것은 보안관리 수준이 전반적으로 낮다는 반증이어서 개선이 요구된다.
행정안전부는 지난해 개발한 전자정부서비스 보안수준 조사지표(12개 부문 77개 항목, 이하 보안지표)를 기반으로 501개 사이트를 조사한 결과, 적용된 항목의 전체 평균이 55.4%에 불과했던 것으로 분석됐다.
이 수치는 501개 전자정부 사이트를 중요도에 따라 보안등급을 산출하고 그에 맞는 보안지표와 보안수준을 산출해 전체 평균을 낸 값이다. 따라서 평균적으로 전자정부 사이트에는 행안부가 요구하는 보안지표의 절반을 조금 넘는 수준만이 적용됐고 나머지는 적용되지 않았다는 얘기다.
보안지표 적용 수준이 이 정도라는 것은 조사대상 전자정부 서비스의 보안관리 수준이 전반적으로 낮다는 반증이라는 게 전문가들의 설명이다. 이 때문에 해당 전자정부서비스를 제공하는 기관들에게 보안관리 수준을 높이도록 해야 한다는 지적이 제기되고 있다.
특히 행안부가 정한 보안지표는 △필수(44개) △권고(23개) △선택(10개)으로 나눠져 있다. 그러나 보안지표 중 보안 전문인력 양성, 재해복구 및 비상계획 주기적 모의훈련, 정보자원의 부정사용에 대한 감시 등 주요 항목들이 선택 항목이어서 보안지표의 필수 항목에 대한 재검토도 필요할 것으로 보인다.
이번 조사는 지난해 행안부가 개발한 보안지표로 501개 주요 전자정부서비스를 분석한 것이다. △서비스의 국가사회적 중요도 △사이버 침해 발생시 피해 영향도 △수행 서비스의 온라인 의존도 등이 평가분야다.
한편 행안부는 지난해 개발한 보안지표에 따라 올해까지 두 차례에 걸쳐 501개 전자정부 서비스의 보안수준 실태를 조사했으나, 조사 결과를 해당 기관에만 알렸을 뿐 외부엔 공개하지 않았다.
이에대해 행안부 관계자는 “전자정부 서비스의 보안수준 실태조사 결과를 외부에 그대로 공개하면 보안이 취약한 사이트에 해킹 시도가 몰릴 우려가 크기 때문에 공개하지 않았다”고 설명했다.
그러나 보안업계 한 CEO는 “정보보안 수준을 숨기면 숨길 수록 지켜지기 어렵다”며 “보안수준에 대한 조사결과를 공표해야만 보안이 허술해질 여지를 줄일 수 있다”고 강조했다.
정소영기자 syjung@
관련 통계자료 다운로드 501개 주요 전자정부사이트 보안등급 분류 결과