국가정보원은 중앙부처, 광역지자체, 공공기관 등 152개 국가·공공기관을 대상으로 사이버보안 현장 실사를 진행하고 '2025년도 사이버보안 실태평가' 결과를 공개했다고 5일 밝혔다.
이번 실태평가는 사이버안보업무규정 제13조에 따라 정부업무평가 대상 중앙부처 48개, 광역지자체 17개, 공공기관 87개 등 총 152개 기관을 대상으로 실시됐다. 평가 결과 우수 등급은 32개 기관, 보통 등급은 114개 기관, 미흡 등급은 6개 기관으로 집계됐다.
우수 등급을 받은 공공기관은 한국지역난방공사 등 32개 기관으로, 2024년 29개 대비 3개 증가했다. 해당 기관들은 취약점에 대한 지속적인 점검과 개선 노력을 적극 추진한 것으로 확인됐다. 이 가운데 한국토지주택공사와 한국석유관리원은 사이버보안 전담조직 확대와 용역사업장 보안관리 개선 등을 통해 2024년 보통 등급에서 2025년 우수 등급으로 상향됐다.
광역지자체의 경우 2024년에 이어 2025년에도 우수 등급을 받은 기관은 없었으며, 중앙부처는 2024년 3개 기관에서 2025년에는 0개로 감소했다. 이는 비인가 정보기술(IT) 기기 통제 미흡 등이 주요 원인으로 분석됐다.
미흡 등급은 중앙부처와 광역지자체에서만 발생했으며, 방송미디어통신위원회, 소방청, 우주항공청, 재외동포청, 서울시, 충청남도 등 6개 기관이 해당됐다. 방송미디어통신위원회는 2024년 보통 등급에서 2025년 사이버보안 전담 인력과 관리 역량 부족 등의 사유로 미흡 등급으로 하락했다. 소방청, 재외동포청, 서울시, 충청남도는 2년 연속 미흡 등급으로 평가됐다.
소방청과 재외동포청은 기관 전반에서 사이버보안에 대한 관심과 개선 노력이 낮은 점이 지적됐다. 서울시는 전담조직 신설 등 일부 개선이 있었으나 시스템 규모 대비 인력이 부족해 보안 관리가 미흡했던 점이 원인으로 꼽혔다. 충청남도는 2024년 확인된 주요 취약점에 대한 보안 조치가 충분히 이행되지 않은 점이 문제로 나타났다.
다수 기관은 2025년 발생한 국가정보자원관리원 화재와 같은 실제 상황을 가정한 훈련을 형식적으로 수행하고 있었으며, 특히 중앙부처는 백업과 복구 대책을 국가정보자원관리원에 과도하게 의존하고 있는 것으로 확인됐다.
국정원은 2026년도 실태평가에서 재해복구시스템 구축과 실전 복구훈련 여부, 주요 시스템에 대한 비인가자 접근 통제 등을 중점적으로 점검할 계획이다. 또한 이번 평가 결과를 정부업무평가에 반영할 수 있도록 행정안전부와 기획재정부에 지원하고, 공공기관 경영평가에서 사이버보안 실태평가 배점도 기존 0.25점에서 0.6점으로 상향했다.
국정원 관계자는 "국가·공공기관의 보안관리 수준과 역량을 정확하게 평가하고 미흡 등급 기관을 대상으로 종합적인 보안 컨설팅을 지원해 나갈 것"이며 "확인된 문제점을 선제적으로 개선해 국가 전체의 보안 수준이 향상될 수 있도록 지속적으로 노력하겠다"고 말했다.