1 건의
보안점검 검색결과
  

13개 중앙부처 및 정부산하기관, 모의해킹에도 뚫려!

서상기 의원, “적대적 침투시 국정마비” 대책마련 시급

국회디지털포럼-NCSC, 67개 국가전산망 보안점검


행정자치부, 외교통상부, 문화관광부, 통일부, 건설교통부, 산업자원부 등 13개 중앙부처를 비롯한 정부 산하기관 대부분이 해킹에 무방비한 것으로 드러났다.


이는 국회 디지털포럼(대표의원 서상기)과 국가정보원 국가사이버안전센터(NCSC)가 국정감사 수감기관 67개 정부기관을 대상으로 지난 4월 4일부터 4월 17일까지 10일 동안 실시한 모의해킹 결과여서 주목된다.  


이번 모의해킹을 주도한 서상기 의원은 “현재 중앙 정부기관의 전산망 보안수준은 적대적 해킹시 국정이 마비될 가능성을 배제할 수 없을 정도로 심히 우려할 수준이다”며, “국가기관의 전산망 보안문제에 대한 대책마련이 시급하다”고 주장했다.    

또한 서의원은 “이러한 문제해결을 위해서는 정보보호 예산 증액, 국제적 수준의 전문 인력양성에 정부가 시급히 대책을 마련해야 한다”고 촉구했다


이번 국가기관 전산망 보안점검은 국회 디지털포럼과 국가정보원 국가사이버안전센터(NCSC)가 13개 중앙 부처를 포함한 국정감사 피감기관 67개 기관을 선정, 법적인 절차를 거친 후 지난 4월 4일부터 4월 17일 까지 10일 동안 모의해킹을 통해 점검을 실시했고, 5월 4일 오후 2시, 국회 의원회관 소회의실에서 비공개 결과보고회를 갖는다.


이번 보안점검대회는 국가정보원 국가사이버안전센터(NCSC)의 전문 인력들이 참여했으며, 67개 기관중 57개 기관이 보안대책 미비로 인한 개인정보 유출, 홈페이지 변조, 해킹프로그램 유포에 악용되는 등 해킹에 무방비 상태인 것으로 드러났다.


구체적인 국가기관 전산망 보안점검 결과는 양호, 미흡, 심각 3단계로 나누었으며, 

행정자치부, 외교통상부, 문화관광부 등 24개 기관 36%가 최하위 심각 등급을 받았으며, 통일부, 건설교통부, 산업자원부 등 33개 기관 49%가 미흡으로 나타났다.


특히 13개 중앙부처에 모두 취약점이 발견되어 모든 정부기관의 전산망 보안 문제가 더 이상 방치할 수 없는 심각한 수준인 것으로 드러났다.


국회 디지털포럼과 국가정보원 국가사이버안전센터는 5월 4일 실시할 결과보고를 통해 10가지의 구체적인 보안대책을 발표하고, 희망기관에 한해서 정보보안 컨설팅시간을 가질 예정이다.


정부부처 보안 관계자는 “금번 국기기관 전산망 보안점검 결과 57개나 되는 기관의 취약점이 발견된 것은 중앙부처와 정부산하기관의 보안의식 등의 문제점도 있겠지만, 정보보호 관련 예산과 인력이 턱없이 부족하기 때문이다”라고 말했다.


또한 “올해 우리나라의 정보화 예산중 정보보호 예산은 4%로 추정되며, 이는 미국 등 선진국의 8%에 비해 턱 없이 낮은 상황이다”고 목소리를 높였다.


덧붙여 “더욱이 우리나라 경우 정보보호 예산 배분 및 집행 현황을 한 눈에 알 수 있는 모델조차 없어 국가전체의 정보보호 예산 수준을 정확히 파악하는 것도 어렵다”고 지적했다.


서상기 의원은 “이번 점검은 단순침투로 정보유출이나 자료의 위ㆍ변조 및 삭제 등은 포함되지 않는 전산망 보안점검 훈련으로 정부부처 및 공공기관의 정보보호 실태와 수준을 파악하고 정책을 세우는 자료로 활용할 계획”이라고 말했다. 


한편 서 의원은 “이번 점검으로 실제 국가기관의 전산망 보안수준이 적대적 해킹시 국정이 마비될 가능성을 배제할 수 없을 정도로 심각한 수준이라는 것이 밝혀졌기 때문에 지속적으로 경각심을 일깨워주기 위해서라도 단순 점검에 끝나지 않고, 전문가들과 종합적인 분석 후에 그 후속대책을 정부에 협조 요청할 계획이다”고 밝혔다. 


<디지털 포럼 10가지 보안수칙>

1. 해킹에 자주 악용되는 파일업로드, XSS 취약점 등은 보완조치

2. 인증에 필요한 사용자 ID, 패스워드 등 사용자 개인정보는 암호화

3. 인증우회로 인한 관리자권한 노출, 실명인증 우회로 인한 비실명 또는 타인명의 악성게시물 게재 등은 즉시 보완 요망

4. 시스템 개발과정에서 생산된 시험파일(시험 데이터, 프로그램 소스) 등은 개발완료시 즉시 삭제

5. 중요자료 취급기관은 인터넷과 내부망을 물리적으로 분리

6. 패스워드는 8자리 이상 주기적으로 변경 사용

7. 홈페이지 구축 등 웹 프로그램 개발단계에서 보안취약점 검사

8. 전산망 신증설시 국가정보원에 보안성 검토 및 승인된 정보보호제품 사용

9. 해킹/웜바이러스 등 이상 트래픽 탐지시 국가사이버안전센터에 즉시 신고

10. 보안관리자 대상 주기적인 보안교육 실시

[길민권 기자(reporter21@boannews.com)]


 

출처 : 보안뉴스(www.boannews.com)
TokenMarket ICO calendar