올해 상반기 한국연구재단과 SGI서울보증을 덮친 대형 해킹 사고는 모두 ‘자율 보안 체계’의 허점이 드러났다는 공통점을 갖는다. 보안 관리 책임이 기관 자체 판단에만 맡겨진 가운데, 최소한의 방어 조치조차 없는 상태로 수십만 건의 개인정보가 유출된 것이다.
24일 업계에 따르면, 현재 대부분의 공공기관은 정보보호관리체계(ISMS) 인증 의무 대상이 아니다. 정부가 정한 기준(전년 매출 100억원 이상, 일일 이용자 수 100만명 이상)을 충족하지 않는 기관은 인증을 받지 않아도 된다. 그 결과, 공공기관은 ‘보안을 할 것인가 말 것인가’를 자율적으로 결정하고 있다.
실제로 지난달 해킹 피해를 입은 한국연구재단은 ISMS 인증 대상이 아니었다. 또 기본적인 보안 수칙조차 지키지 않은 것으로 드러났다. 해커는 이메일 주소와 URL만으로 ‘비밀번호 찾기’ 기능을 조작했고, 이 초보적인 수법에 12만2954명의 개인정보가 유출됐다. 이 중 116명은 주민등록번호까지 함께 노출됐다.
비슷한 문제는 SGI서울보증에서도 반복됐다. 이 회사 역시 ISMS 인증 의무가 없던 상태에서 3월 상장하며 “추진하겠다”고만 밝혔다. 실제로는 아무런 인증도 받지 않았다.
해커는 VPN 장비를 대상으로 ‘무차별 대입 공격(Brute Force)’을 시도했지만, 로그인 실패에 따른 계정 잠금이나 이중 인증 같은 기본 방어조치조차 없었다. 사고 이후 대응에서도 ‘자율 보안 체계’의 한계는 고스란히 드러났다.
한국연구재단은 과기정통부가 유출 사실을 통보했음에도 72시간 동안 ‘유출 없음’이라는 기존 공지를 유지했다. 개인정보보호법은 유출 인지 후 72시간 내 피해 사실을 통지하도록 규정하고 있지만, ‘피해 규모 미확정’을 이유로 예외가 허용되는 허점이 작동했다.
사태는 2차 피해로까지 번졌다. 재단은 이중 인증도 적용하지 않은 채 시스템을 재개했고, 며칠 뒤 피해자 1559명의 이름으로 특정 학회에 무단 가입되는 사건이 발생했다.
더 심각한 문제는, 이런 유출 사실을 과기정통부 산하 사이버안전센터의 통합관제 시스템이 전혀 감지하지 못했다는 점이다. 1·2차 피해 모두 외부 신고를 통해서야 인지됐다. 현재 공공기관 보안 점검은 대통령령인 ‘사이버안보 업무규정’에 따라 시행되지만, 미이행 시 제재가 없어 유명무실하다는 지적이다.
황현희 국회입법조사처 과학방송통신팀장은 “공공기관의 보안 점검을 자율이 아닌 의무로 전환해야 한다”며 “전자정부법 등 상위 법률로 격상하고, 과태료 등 실질적인 제재 수단을 마련해야 한다”고 지적했다. 그는 또 “정보보호 인증 및 공시 의무를 공공기관까지 확대하고, 해킹 피해에 대한 실질적인 손해배상 체계도 구축해야 한다”고 강조했다.
홍주연 기자
jyhong@chosunbiz.com