2년전 인력확대 개선안 발표에도···산하기관 정보보호 대응체계 미흡
산하기관 66곳 중 38곳, 정보보호 전담인력 ‘1명’ 이하
전담인력 ‘0명’인 곳도 24곳 달해

국회 과학기술정보방송통신위원회 소속 이인영 더불어민주당 의원 / 사진 = 이인영 의원실
국회 과학기술정보방송통신위원회 소속 이인영 더불어민주당 의원. / 사진 = 이인영 의원실

[시사저널e=김용수 기자] 과학기술정보통신부 산하기관 66곳 중 절반 이상(38곳·58%)의 정보보호 전담 인력이 최소 보유 기준인 ‘2명’에 못 미치는 것으로 나타났다. 단 한명의 정보보호 전담 인력도 보유하지 않은 기관은 24곳(36%)에 달했다.

과기정통부가 해킹 등 사이버 침해 사고 대응체계를 강화하겠다며 산하기관의 정보보호 전담 인력 확대 및 전담 조직 신설 등을 골자로 하는 개선방안을 마련했지만, 시행 2년여가 지났음에도 기본 지침조차 지키지 못하고 있는 것이다. 이에 과기정통부가 산하기관 대응체계 점검을 소홀히 하고 있단 지적이 나온다.

20일 국회 과학기술정보방송통신위원회 소속 이인영 더불어민주당 의원이 과기정통부로부터 제출받은 ‘과기정통부 산하기관의 정보보호 전담인력 현황’ 자료에 따르면, 지난 8월 기준 정보보호 전담 인력이 단 한명도 없는 과기정통부 산하기관이 전체(66곳)의 36%(24곳)에 달하는 것으로 나타났다. 정보보호 전담 인력이 ‘1명’에 불과한 산하기관을 포함할 경우 전체의 58%(38곳)에 달하는 산하기관에 최소 기준인 2명의 전담 인력도 없는 상황이다.

정보보호 전담 인력이 전무한 곳은 국립중앙과학관, 국립과천과학관, 국립전파연구원, 소프트웨어정책연구소, 고등과학원, 한국뇌연구원, 한국원자력의학원, 동남권원자력의학원, 국가수리과학연구소, 한국과학기술기획평가원, 국가과학기술인력개발원, 한국나노기술원, 과학기술사업화진흥원, 국립대구과학관, 국립광주과학관, 국립부산과학관, 한국여성과학기술육성재단, 우체국시설관리단, 국가과학기술연구회, 국가녹색기술연구소, 한국생산기술연구소, 국가보안기술연구소, 한국건설기술연구원, 한국식품연구원 등 24곳이다.

정보보호 전담 인력이 1명인 곳은 중앙전파관리소, 우체국물류지원단, 한국과학영재학교, 울산과학기술원, 한국데이터산업진흥원, 한국기초과학지원연구원, 한국천문연구원, 한국한의학연구원, 세계김치연구소, 한국기계연구원, 한국재료연구원, 한국에너지기술연구원, 한국전기연구원, 안전성평가연구소 등 14곳이다.

과학기술정보통신부가 2021년 9월 발표한 '산하기관 정보보호 개선방안' 중 산하기관의 전담인력 보유 기준표 / 자료 = 과학기술정보통신부
과학기술정보통신부가 2021년 9월 발표한 '산하기관 정보보호 개선방안' 중 산하기관의 전담인력 보유 기준표. / 자료 = 과학기술정보통신부

2021년 9월 과기정통부는 정부출연연구기관 등 산하기관의 사어버 위기 대응체계를 강화하기 위해 ‘산하기관 정보보호 개선방안’을 마련했다. 산하기관이 정보보호 전담조직을 만들고, 정보보호 전담 인력을 기존 대비 확대하는 것이 골자다. 예컨대 기관 인원수가 200명 미만의 정보보호 전담 인력은 기존 1명에서 2명으로, 300명 미만은 2명에서 3명으로, 500명 미만은 3명에서 4명으로 늘어난다. 1000명 미만과 2000명 미만 기관은 기존 4명에서 각각 5명과 6명으로 확대되고, 2000명 이상 기관은 4명에서 7명으로 늘어난다.

그러나 개선방안을 마련한 지 2년여가 지났음에도 산하기관 절반 이상이 기본 인력(2명)마저 보유하지 못한 것이다. 특히 한국지능정보사회진흥원과 한국데이터산업진흥원, 소프트웨어정책연구소 등 주요 ICT 기관을 비롯해 과기정통부 산하기관 38곳(전체의 58%)이 정보보호 전담조직도 갖추지 못한 것으로 드러났다.

과학기술정보통신부 산하 주요 ICT 기관의 정보보호 전담 인력 현황 및 전담 조직 보유 여부 / 자료 = 이인영 더불어민주당 의원실
과학기술정보통신부 산하 주요 ICT 기관의 정보보호 전담 인력 현황 및 전담 조직 보유 여부. 한국인터넷진흥원(KISA)을 제외한 5개 ICT 기관이 정보보호 기본 지침도 지키지 못하고 있는 것으로 나타났다. / 자료 = 이인영 더불어민주당 의원실

산하기관들이 사이버 침해 사고 대응에 허술한 모습을 보인 탓에, 지난해 과기정통부 산하기관을 대상으로 진행한 ‘사이버 침해 대응훈련’ 결과 지능정보사회진흥원, 한국과학기술원 등 5개 기관에서 10곳이 넘는 해킹 취약점이 발견됐다.

아울러 과기정통부는 개선방안을 통해 정보보호 사업 예산을 정보화 사업 등 다른 사업과 분리하고, 정보화 사업 예산 대비 15% 이상 반영하도록 의무화한 바 있다.

그러나 올해 예산안을 기준으로 국립전파연구원(3.1%), 우정사업본부(5.9%), 한국과학창의재단(2.6%), 한국과학기술원(10.3%), 한국뇌연구원(5.3%), 동남권원자력의학원(10.9%), 한국과학기술기획평가원(12.8%) 등 7개 기관이 이 기준을 충족하지 못하는 것으로 나타났다.

이렇다 보니 과기정통부가 산하기관의 사이버 침해 대응체계 점검에 소홀하고 있단 지적이 나온다.

이 의원은 “과기정통부는 해킹 등 사이버 위협에 대비하기 위해 정보보안 기본지침까지 개정했지만, 정작 소속기관·산하기관들이 지침을 따르지 않아 위협에 노출된 상황”이라고 지적했다.

이어 “해커들의 사이버 침해 위협은 갈수록 고도화되고 있다”며 “과기정통부는 산하기관이 보다 적극적으로 보안 환경을 구축할 수 있도록 기관 운영평가에 반영되는 정보보호 평가 비중을 더 상향시키는 등 조치를 고려할 필요가 있다. 또 산하기관의 사이버 침해 대응체계와 현황을 점검해야 한다”고 강조했다.

저작권자 © 시사저널e 무단전재 및 재배포 금지