국내 공공기관의 정보보안 수준이 지난해와 비교했을 때 소폭 나아진 것으로 나타났다. 하지만 일부 기관에서는 관리자 서버 접근권한 통제가 제대로 이뤄지지 않고, 구형 윈도 운영체제(OS)를 사용하는 등 문제점도 노출된 것으로 파악됐다.

국가정보원은 올해 1∼4월 관리 보안과 기술 보안, 위기 대응 영역에서 공공기관 130곳의 정보보안 관리실태를 평가한 결과 100점 만점에 평균 75.47점을 받았다고 19일 밝혔다.

이는 지난해 같은 기간과 비교했을 때 약 3.6점 오른 수치다. 국정원은 정보보안 전담 조직, 인력, 예산 확보 등 관리 보안 영역에서 보안 수준이 올라간 것이 주요 원인이라고 분석했다. 관리 보안은 총 38개 항목으로 나뉘며, 전체 평가 점수 100점 가운데 39점을 차지한다. 

사이버 위기 대응 영역에서는 매뉴얼 정비, 위기 대응 훈련 실시 등에 대한 달성률이 85％를 넘었으며, 복수 우선순위 및 백업·복구훈련 실시 여부 집중 점검에서도 달성률이 84％를 넘는 것으로 평가됐다.

다만 100점 만점에 38점을 차지하는 기술 보안 영역에서는 절반 가까운 공공기관이 정보시스템에 대한 비인가자 접근 통제가 미흡했고, 용역업체 직원 등에 대한 시스템 접근권한을 차등 부여하지 않은 곳도 지난해보다 늘어났다.

또 윈도 7, 윈도 서버 2008 등 보안 지원이 중단된 운영체제를 사용하거나, 시스템 보안패치를 적용하지 않는 등의 문제도 발견된 것으로 드러났다.

국정원은 이날 공공기관 전체 130곳 가운데 25곳의 보안 수준이 미흡한 것으로 진단됐다고 발표했다.

공기업 36곳 중 한국토지주택공사(LH)와 한국철도공사, 한국방송광고진흥공사, 주택도시보증공사(HUG) 등 7곳이 미흡 판정을 받았다.

준정부기관 57곳 가운데는 한국관광공사, 한국장학재단, 한국지능정보사회진흥원 등 11곳이, 중소형 공공기관 37곳 중에선 국제방송교류재단, 서민금융진흥원, 정보통신산업진흥원 등 7곳이 ‘미흡’으로 평가됐다.

각 기관이 평가지표를 얼마나 달성했는지 나타내는 평가지표 달성률은 79％로 전년 동기보다 3％ 포인트 증가했다.

국정원은 원내 평가담당관과 외부 전문가 50여 명으로 평가위원회를 구성해 상대평가 형태로 진행했으며, 논의를 거쳐 결과를 대외 공개하기로 했다.

백종욱 국정원 3차장은 “기관과 기관장의 정보 보안 관리 실태에 대한 관심과 투자 지원을 중심으로 평가한다”고 말했다.

또 “한국철도공사나 한국토지주택공사처럼 규모가 큰 기관들의 경우에는 상대적으로 작은 기관보다는 보안 취약점이 많은 경우가 있고 그런 부분이 반영된 것이라고 보면 된다”고 덧붙였다.

국정원은 올해 8∼10월 중앙행정기관, 광역·지방자치단체를 대상으로 관리 실태 평가를 계획하고 있다. 평가에서는 랜섬웨어 등 해킹 사고 예방, 재난 대비 역량, 민간 클라우드 이용 보안대책 등을 다룬다.

아울러 내년에는 공기업·준정부기관 이외의 공공기관 등을 대상으로 정보보안 관리 실태 평가 범위를 확대해 공공기관 보안 수준을 제고하고 보안 사각지대 발생을 예방할 방침이다.