#매일 서울 시민의 출퇴근을 책임지는 지하철. 정보보호 전문조직은 물론이고 보안장비도 제대로 갖추지 않았다. 1995년 나온 낡은 관제시스템에 비밀번호는 4자리. 지난해 정보보호 예산은 4000만원. 취약점 점검 비용이다.
지난해 국가 사이버안보 종합대책이 시행된 지 1년이 지났지만 정부와 주요정보통신기반 시설 보안은 여전히 제자리걸음이다.
정부는 2017년까지 집적정보통신시설(IDC)과 의료기관 등을 포함한 주요정보통신기반시설을 209개에서 400개로 확대한다고 밝혔다. 국가기반시설은 인터넷망과 분리 운영하고 전력, 교통 등 테마별로 특화한 위기대응훈련을 실시키로 했다. 민간기업은 정보보호관리체계(ISMS)인증 대상을 150개에서 500개로 늘리고 중소기업 보안 취약점 점검과 교육으로 국가 보안 수준을 높인다는 목표를 세웠다.
◇정부 정보보호 예산은 쥐꼬리
올해 정부의 정보보호 예산은 2600억원(8%). 정부기관과 주요정보통신기반시설을 노린 사이버 위협이 높아지고 있지만 정보보호 예산은 지난해 2400억원에서 0.7% 증가하는 데 그쳤다. 안전행정부 정보보호 예산은 지난해에 비해 121억8600만원 감소했다. 기업도 마찬가지다. 2013년 안행부 개인정보보호 실태조사에 따르면 개인정보보호 예산을 확보한 기업은 3.9%에 불과하다. 96% 기업은 책정된 예산이 전혀 없다.
심종헌 지식정보보안산업협회장은 “국가 사이버안보 종합대책이 시행됐지만 정부가 앞서서 정보보호 투자를 강화하고 적재적소에 전문가를 배치하는 움직임이 없었다”며 “각종 보안 규제를 만드는 것보다 정보화 예산 중 정보보호 예산을 분리하는 게 시급하다”고 지적했다.
◇실효성 있는 규제 아쉬워
보안전문가는 주요정보통신기반시설이나 ISMS인증 대상 기업 숫자만 늘린다고 보안 수준이 높아지는 게 아니라고 입을 모은다. 정부가 정보보호 인증이나 솔루션 설치를 의무화하면 오히려 전반적인 보안 수준이 하향평준화한다. 더 잘할 수 있는 기업도 규제만 지키는 선에서 끝내기 때문이다.
올해 안에 ISMS인증을 취득해야 하는 기업 200곳 중 절반 이상이 아직 신청서도 내지 않은 것으로 확인됐다. 올해 말까지 인증을 취득하려면 상반기가 끝난 현재 기업 대다수가 신청을 완료해야 한다. 하지만 대부분 기업이 연말 인증 취득 마감 시간이 닥쳐야 움직인다. 1년 내내 기업 내 정보보호를 생활화하기보다 인증을 위한 인증을 한다.
◇폐쇄망 맹신이 더 위험
정부는 국가기반시설에서 업무 망과 인터넷망을 분리하는 데 집중했다. 교통시스템을 비롯해 원전, 병원, 금융권은 폐쇄망에서 주요 시스템을 운영해 안전하다는 입장이다. 이들 중 일부 폐쇄망은 보안 장비를 전혀 설치하지 않았으며 마이크로소프트 윈도XP 등 보안 서비스가 종료된 운용체계(OS)도 대거 사용하는 것으로 드러났다.
최근 시만텍은 최근 미국과 스페인, 프랑스, 이탈리아, 독일, 폴란드 등의 주요 발전업체와 석유공급사, 에너지산업 장비 기업을 노린 사이버 공격 활동을 포착했다. 국내 에너지 시설 대부분 해외 장비나 소프트웨어로 운영한다. 이 공격이 국내로 들어오는 건 순식간이다.
김용대 KAIST 정보보호대학원 교수는 “지난해 대형 사이버 테러에도 국가주요기반시설 요구조건에 보안을 고려하지 않고 예산도 턱없이 부족하다”며 “폐쇄망이지만 실제로 반쯤 열려있는 것이나 마찬가지”라고 지적했다.
김인순기자 insoon@etnews.com