통합전산센터를 비롯해 행정망, 초고속통신망, 인터넷뱅킹시스템 등 국가 주요 정보통신기반시설의 유지·보수가 용역 업체에 의해 주먹구구식으로 이뤄지는 것으로 나타났다.
8일 행정안전부가 153개 정보통신기기반시설에 대한 보안 현황을 조사한 결과, 기관 자체적으로 유지·보수를 담당하는 정보통신기반시설은 각 발전소와 온세텔레콤 등 35개 시설에 불과했다.
71개 시설은 외주 용역업체가 유지·보수를 전담 중이고, 외교통상부와 지하철공사(서울메트로) 등 47개 시설은 기관 자체와 용역업체가 업무를 분담하고 있었다. 결과적으로 전체 시설 가운데 77%(118개)의 주요 정보통신기반시설 전산망은 외부 업체 직원들이 임의 관리하는 상황이다.
이들 외부 용역업체 직원들은 대부분 노트북PC와 휴대용 저장장치(USB)를 사용해 시설 전산망을 관리한다. 하지만 행안부 조사결과 각 시설들은 이들의 노트북PC와 USB를 ‘눈으로 관리’하는 수준인 것으로 드러났다.
외부 노트북PC가 악성코드에 감염됐는지, 기관의 주요 정보를 빼 가는지를 특정 소프트웨어로 감시하는 ‘기술적 통제법’을 사용하는 시설은 18%에 불과했다. 나머지 시설(82%)은 내부 직원이 따라붙으며 용역업체 직원이 작업하는 모습을 지켜보거나 노트북PC 반입을 통제하는 수준이었다.
USB에 대한 감시도 마찬가지다. 시설의 컴퓨터에 있는 USB 포트를 밀봉하거나(35%), 외부 USB의 반입을 금지하는(43%) 등 모두 ‘아날로그식’의 통제방법을 사용하고 있었다. 감시 SW를 사용하는 방법은 예산이 많이 들기 때문이다.
이에 따라 김을동 의원은 이날 국가주요정보통신기반시설에 접근하는 모든 외부인에 대해 수사기관 등의 신원조회를 의무화하고, 노트북PC-USB 등 전자장치에 대해서는 반드시 기술적 검증을 거치도록 하는 ‘정보통신기반보호법’ 일부개정법률안을 대표 발의했다. 홍사덕, 한선교, 이사철 등 12명의 의원이 발의에 동참했다.
김 의원은 “수백, 수천억원을 들여 국가정보서비스망을 만들고도 제 집 드나드는 도둑 하나 제대로 단속 못해서 곳간이 거덜나게 생겼다”며 “앞으로 국가주요정보통신기반시설에 드나드는 외부인과 전자장치에 대해서는 철저한 사전검증을 실시해야 한다”고 말했다.
◆용어/정보통신기반시설
안보·행정·국방·치안·금융·통신·운송·에너지 등 국가와 국민에게 큰 영향을 미치는 핵심시설의 전산망을 특별히 보호하기 위해 정보통신기반보호법에 따라 지정한 곳. 정부는 정보통신기반시설을 2008년 109개 지정한 이후 2011년 2월 현재 153개로 늘렸다. 여기엔 농협을 비롯해 은행별 인터넷뱅킹 시스템 등 17개 금융기관과 한국전력공사, 한국가스공사, 우정사업본부, 코레일, KT, SK텔레콤 등 통신시설 등이 포함돼 있다.
류경동기자 ninano@etnews.co.kr