수백만명의 교직원·학생 개인 정보가 담긴 교육행정정보시스템(NEIS·나이스)이 14년째 개인 계정 탈취에 무방비로 노출된 것으로 지적됐다. 정보보호관리체계(ISMS) 인증 기업도 개인 정보 침해 사고를 당하는 등 각 분야의 보안 취약점이 드러났다.
17일 국회 교육문화체육관광위원회, 과학기술정보방송통신위원회, 환경노동위원회 등이 실시한 소관 부처 산하기관 국정감사에서 부실한 보안 체계가 집중 다뤄졌다.
교문위 소속 김한정 더불어민주당 의원은 나이스가 로그인 실패 가능 횟수를 설정해 놓지 않아 해커 공격에 노출됐다고 밝혔다.
나이스 사용자는 교직원 55만명, 학생 및 학부모 250만명 등 300만명을 넘는다. 김 의원에 따르면 강원교육청, 경북교육청 등은 해커의 무차별 공격으로부터 방어하기 위해 로그인 실패 임계값을 최소 5회 이상으로 설정하라는 권고를 2015년에 통보받고도 아무런 조치를 취하지 않았다. 다른 시·도교육청은 이런 문제조차 발견하지 못한 것으로 드러났다.
한석수 한국교육학술정보원장은 “아이디·공인인증서 방식을 채택하는 등 7단계 보안 시스템을 통해 해킹이 일어나지 않도록 주의하고 있다”면서 “필요하다면 교육부와 협의해 보안 강화를 검토하겠다”고 답했다.
전문가들은 로그인 실패 가능 횟수를 정해 놓지 않으면 비밀번호를 해킹 프로그램으로 자동 생성, 뚫릴 때까지 공격이 가능하다고 지적했다. 관제만으로는 부족하다는 것이다.
김 의원은 “수백만명의 개인 정보가 담긴 핵심 시스템은 한 번 뚫리면 대형 사고로 이어지는 만큼 방심하면 안 된다”면서 대책 마련을 당부했다.
기상청 종합기상정보시스템 보안 문제도 도마에 올랐다. 송옥주 민주당 의원은 환노위 기상청 국감에서 종합기상정보시스템의 기술 보안 점검 항목 1785개 가운데 31.5%가 취약한 것으로 나타났다고 지적했다.
과방위의 한국인터넷진흥원(KISA) 국감에서는 ISMS 실효성 논란이 거셌다. 박홍근 민주당 의원은 “ISMS 인증을 받고 침해 사고를 겪는 곳이 많다”면서 “한 번 ISMS 인증을 받으면 사고가 발생해도 인증이 취소되지 않는다”고 지적했다. 박홍근 의원은 “이런 기업이 아무런 제재 없이 인증이 또 나온다”면서 ISMS 인증 실효성을 비판했다.
박정호 KISA 부원장은 “ISMS는 기업이나 기관이 정보 보호를 제대로 하는지 역량을 인증 받는 것”이라면서 “건강 검진과 같은 기능”이라고 해명했다.
김성태 자유한국당 의원은 “지난해 3월 감사원도 ISMS와 개인정보보호관리체계(PIMS) 심사 항목 가운데 74%가 유사하고 중복돼 통합 방안 마련을 촉구했다”면서 “과학기술정보통신부와 방통위는 업무의 고유성을 주장하고 있지만 두 개 인증으로 말미암아 기업 부담은 가중된다”고 질타했다. 김성태 의원은 개인 정보 관련 정부 통합 컨트롤타워의 필요성을 역설했다. 김 의원은 “컨트롤타워 없이 현재 상황이 장기화하면 법률을 통합, 강제 유도하는 방안을 고민해야 한다”고 덧붙였다.
이에 대해 김용수 과기정통부 차관은 “개인 정보 보호 관련 부처가 많은 것은 사실”이라면서 “법에 의해 집행되는 건이어서 컨트롤타워 마련 등은 법 개정 없이 불가능하다”고 대답했다.
같은 당의 박대출 의원은 KISA 자체 ISMS 기준 이행을 지적했다. 박대출 의원은 “지난 6월 KISA 내 한 직원이 특정 보안업체 이벤트에 당첨되기 위해 내부 악성코드를 외부로 유출했다”면서 “악성코드 시스템에 접속할 수 없는 직원이 다른 직원 계정을 이용해 코드를 빼냈다”고 지적했다. 박 의원은 “KISA가 ISMS 기준을 제대로 지키면 일어날 수 없는 사고”라면서 “이 사건은 직원 개인 일탈로 보고 넘길 수 없다. 고양이에게 생선을 맡길 꼴”이라고 꼬집었다.
김인순 보안 전문기자 insoon@etnews.com
공동취재 문보경·최호 기자