"공공기관도 ISMS 인증과 정보보호 공시 포함해야"
국회입법조사처(처장 이관후)는 21일 '한국연구재단 해킹 사건을 계기로 본 공공기관 정보보호 강화방안'이라는 제목의 '이슈와 논점 보고서'를 발간했다. 보고서는 대다수 공공기관이 정보보호관리체계(ISMS, Information Security Management system) 인증 및 인증 및 정보보호 공시 의무 대상에서 제외돼 정보보호 수준에 대한 외부 점검이 어려운 사각지대에 놓여 있다고 지적, 공공기관도 의무 대상에 포함하는 방향으로 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 및 '정보보호산업의 진흥에 관한 법률' 개정을 검토할 필요가 있다고 밝혔다. 앞서 지난 6월 6일 한국연구재단(이하 재단)에서 대규모 해킹 사건이 발생했다. 재단의 논문투고시스템(JAMS)이 해킹돼 약 12만 건의 연구자 개인정보가 유출된 중대한 사고였음에도 사회적 관심이 크지 않았다. 보고서는 이러한 현실에 주목하며, 현행 공공기관 정보보호 체계의 구조적 취약성과 실효성의 한계를 짚고, 개선 방향을 제시했다. 이번 사건은 국가 연구개발(R&D) 지원의 핵심축을 담당하는 공공기관이 단순한 해킹기법에도 무방비로 노출됐다는 점에서, 연구생태계의 신뢰 기반을 흔들 수 있는 중대한 사안이라고 보고서는 짚었다. 해커는 이메일 정보와 단순한 URL 조작만으로 시스템에 침투해 비밀번호 초기화를 시도했고, 이로 인해 전체 JAMS 이용자 약 79만 명 중 12만여 명의 개인정보가 유출됐다. 이후 유출된 정보를 이용해 일부 피해자의 명의가 도용되는 2차 피해도 발생했다. 즉 1차 피해는 6월 6일 새벽, '비밀번호 찾기' 기능의 설계상 취약점을 악용해 12만 2954명의 개인정보(이름, ID, 이메일, 생년월일, 휴대전화, 직장정보, 계좌정보 등)가 유출됐고, 이 중 116명은 주민등록번호까지 함께 유출됐다. 이는 '임시비밀번호 발급' 요청에 대한 응답 과정에서, 요청 범위를 넘어 개인정보 테이블 전체가 서버로부터 전송(반환)되도록 설계된 구조적 허점에서 비롯된 결과였다. 계좌정보(은행, 계좌번호, 명의자) 중 계좌번호는 암호화된 상태였다. 2차 피해는 조사가 진행 중이던 6월 17일, 피해자 중 1559명의 명의로 특정 학회에 무단 가입된 사실이 확인됐다. 이는 회원 가입 시 이중 인증조차 적용하지 않은 채 시스템을 서둘러 재개한 것이 결정적 원인으로 보인다고 보고서는 해석했다. 재단은 6월 20일이 돼서야 이중 인증 기능을 도입하며 본인확인 절차를 강화했다. 보고서는 이 사건을 계기로 드러난 재단의 허술한 보안 대응과 함께, 공공기관 정보보호 체계 전반의 구조적 공백을 지적하며, 다음과 같은 제도 개선 과제를 제시했다. 첫째, 현재 공공기관의 사이버보안 자체 진단 및 점검은 대통령령인 '사이버안보 업무규정'에 기반해 운영되고 있으나, 미이행 시 제재가 없어 실효성이 낮은 상황이다. 따라서 자체 보안점검의 법적 근거를 '전자정부법' 등 상위 법률로 격상하고, 일정 기한 내 시정조치를 의무화하며, 과태료 등 제재 수단을 도입할 필요가 있다. 둘째, 현행 '유출 인지 후 72시간 이내 통지' 규정은 권리 보호를 위한 최소한의 기준이나, 현장에선 이를 72시간까지 통지를 미루는 근거로 오용되는 경향이 있다. 그러나 주민등록번호, 금융정보 등은 유출 시 즉각적 대응이 필수인 만큼 '개인정보 보호법 시행령'에 '인지 즉시 우선 통지'를 의무화하는 예외 조항을 둘 필요가 있다. 실제 이번 사건에서도 재단은 과기정통부(사이버안전센터) 주관 정밀 조사에서 유출 사실을 확인했음에도 72시간 동안 '피해 규모 미확정'을 이유로 기존의 '유출 없음' 공지를 유지했다. 이로 인해 공공기관으로서의 책임성과 신뢰성을 훼손하고 2차 피해 가능성을 키웠다는 비판을 받았다고 보고서는 지적했다. 아울러 보고서는 재단의 공동 주무부처인 과학기술정보통신부와 교육부 역시 이번 사건의 책임에서 자유로울 수 없다고 지적하며, 두 부처의 보다 능동적이고 책임 있는 역할 수행을 주문했다. 특히 최근 SKT, 예스24, 외식 및 명품업계 등에서도 해킹 피해가 잇따르는 가운데, 산하 공공기관은 물론 민간 부문의 정보보호 정책까지 총괄하는 과기정통부의 역할과 책임이 더욱 강조되고 있다고 지적했다. 이에, 과기정통부는 보다 적극적인 관리 및 감독과 제도 정비에 나서야 하며, 그 이행의 적절성은 국정감사 등을 통해 엄정하게 점검될 필요가 있다고 적었다. 실제 사이버안전센터의 24시간 통합관제에도 불구하고 1차, 2차 피해 모두 외부 '의심 신고'로 뒤늦게 인지된 점은 현행 관제 체계가 제대로 기능하지 않았음을 보여주는 사례로, 관제 체계 전반의 재점검이 시급하다고 덧붙였다. 과학기술정보통신 사이버안전센터는 과기정통부가 설치하고 한국과학기술정보연구원이 수탁 운영하는 조직으로, 과기정통부 산하기관과 유관기관, 국가과학기술연구회(NST) 소관 출연연의 정보보안을 24시간 통합관제하고 있다.
