감사원이 보건복지부 산하 한국보건복지정보개발원에 `개인정보보호 조치 미흡에 대한 주의요구·통보`를 내렸다.
본지가 입수한 자료에 따르면 24일 감사원은 한국보건복지정보개발원이 운영하는 `사회복지통합관리망`에 △개인정보암호화 소프트웨어 도입 부적정 △자료유출방지시스템 도입·운영 부적정 △서비스 권한관리 미흡 등으로 주의 요구를 통보했다.
2010년 초 보건복지분야 정보시스템 운영을 위해 보건복지부 산하기관으로 출범한 한국보건복지정보개발원은 지난달 PIMS(개인정보관리체계) 인증을 획득한 바 있어 이번 개인정보보호 조치 미흡 경고는 더욱 충격을 준다.
◇DB암호화 때문에 장애 발생하자 DB암호화 없이 운영 중=사회복지통합관리망은 보건복지부가 각종 사회복지 급여와 서비스 지원 대상자 자격 및 이력 정보를 통합관리하기 위해 구축, 주민등록번호 등 고유 식별번호가 3300만건가량 수집·저장돼 있다.
하지만 통합관리망은 다량의 정보가 전송될 때 소프트웨어가 정지하는 등 망에 적합하지 않은 DB보안 소프트웨어를 도입했다. 그 결과 사회복지 급여 지급 업무가 집중되는 빈도가 높은 시간대인 10~10시 30분, 14~15시 하루 두 차례가량 인터넷 화면이 정지되는 현상이 지속적으로 발생, 시스템 사용자인 지방자치단체 복지 담당 공무원의 민원이 빗발쳤다.
보건복지정보개발원은 원인 분석 결과 DB암호화 SW 때문이라며 지난해 4월 DB암호화 SW를 제거하고 감사원 감사일인 지난해 말까지 주민등록번호 등 주요 개인정보를 암호화하지 않고 방치했다.
또 보건복지정보개발원이 통합관리망 개인정보보호 강화를 위해 도입한 자료유출방지 시스템 역시 규격에 맞지 않아 제 구실을 못하고 있다. 외부 해킹 여부를 탐지하는 장비인 자료유출방지시스템은 실시간 데이터 수집이 필수라 4코어 3.0㎓ 이상 CPU와 16GB 이상 메모리가 필요하지만 도입된 시스템은 4코어, 2.0㎓에 불과해 용량 부족으로 적정 성능을 내지 못한다. 감사원은 외부 해킹 등 침입으로 발생하는 전산자료 유·노출 여부 파악이 안 된다며 이의 시정을 요구했다.
◇권한 없는 관리자도 망 접근 허용=통합관리망 문제는 여기에 그치지 않았다. 통합관리망을 관리, 운영하는 직원이 퇴사하거나 인사이동으로 전보되면 서비스 접근 권한을 즉시 중지하거나 변경해 권한 없는 자가 시스템에 접근하지 않도록 조치해야 한다. 하지만 감사원 조사 결과 통합관리망 관리자가 전보, 파견복귀, 휴직 등으로 관련 업무를 담당하지 않는데도 27명이 넘게 접근 권한이 남아있는 사례를 발견했다.
이경호 고려대학교 정보보호대학원 교수는 “DB암호화로 시스템이 느려지지 않는지 철저히 사전 컨설팅을 받고 설계 변경 등 작업을 선행해야하지만 예산 부족 등을 이유로 거의 모든 공공, 민간에서 이를 시행하지 않는다”며 “감사원의 이번 조치는 비단 한국보건복지정보개발원에 그치는 것이 아니라 향후 수많은 공공, 민간에서 발생할 문제의 전조현상”이라고 경고했다.
이에 대해 한국보건복지정보개발원 정보보호팀 관계자는 “감사원의 세 가지 지적사항 중 자료유출방지시스템 용량 부족 건은 올해 예산을 잡아 증설을 계획 중”이라며 “나머지 사항도 보건복지부에서 시정을 위한 준비 작업을 진행 중인 것으로 안다”고 답했다.
사회복지통합관리망 자료유출방지시스템 서버 운영현황
장윤정기자 linda@etnews.com