공공기관 내 USB 등 보조기억매체를 활용한 정보유출이 갈수록 늘면서 보안USB 도입을 의무화하는 등 USB관리 기준을 강화해야 한다는 목소리가 높아가고 있다.
12일 정부 및 정보보호업계에 따르면 해커들은 최근 공공기관이 인터넷망과 업무망을 분리하는 망분리 사업을 본격화함에 따라 USB를 새로운 바이러스 등 악성코드 침투경로로 활용하는 사례가 늘고 있으나 일반USB 사용을 제제할 수 있는 조항이 없다.
실제로 정보당국자에 따르면 북한은 최근 5년간 인터넷 해킹으로 165만명 이상에 달하는 남측 인사의 개인 신상정보를 빼낸 것으로 알려졌다.
올해 초 행정안전부는 이 때문에 ‘정보통신보안업무규정’을 강화해 행정기관에서 다음, 네이버와 같은 포털 상용메일 사용을 금지한다고 밝힌 바 있으나 인터넷 메일이 아닌 개인USB 사용을 금지한다는 조항은 없다. 개인USB로 악성코드를 내려받아, 이를 업무용 PC에서 가동할 경우 내부망에 바이러스가 전파될 수 있기 때문이다.
공공기관 보안USB 사용 의무화를 위해 국정원에서 마련한 ‘USB 메모리 등 보조기억매체 보안관리지침’ 역시 허술하다는 지적이다.
보안USB 사용이 필수적이라 규정했으나 지침 6조 2항은 ‘각급기관의 장은 그 소속직원에게 공지·교육을 통하여 보조기억매체의 임의 사용을 제한해야 하고 이에 대하여 주기적인 점검을 실시해야 한다’고 했다.
그러나 한국인터넷진흥원(KISA)에 따르면 전 부처 차원에서 일반USB 임의사용여부를 조사한 사례는 한 건도 없다. 또 국정원의 지침에 따르면 현재 공무원들은 공인인증서 등 개인적인 용도에 한해 일반USB를 사용할 수 있으나 이를 업무에도 활용하는 경우가 잦다는 것이다.
망분리를 끝낸 정부부처의 한 관계자는 “규정대로라면 일반USB와 보안USB 모두를 갖춰야 하나 불편함 때문에 일반USB를 사용하는 경우가 많다”면서 “제제규정이 명확하지 않은 상태에서 보안USB 도입 예산을 요구할 근거도 없는 게 사실”이라고 말했다.
임종인 고려대 정보보호대학원 교수는 “USB 등 보조기억매체를 자유롭게 활용하는 경우 망분리 의미가 퇴색할 수 있다”면서 “근본적으로는 민간기업처럼 인가되지 않은 USB를 쓰는 이들에게 인사상 불이익을 주는 등 조치가 불가피할 것”이라고 강조했다.
정진욱기자 coolj@etnews.co.kr