과학기술정보통신부 산하 연구개발(R&D) 관리 전문 기관인 정보통신기획평가원(IITP)의 개인정보접속기록관리 시스템이 해킹됐다. 지난해 말 해킹 사고가 발생한 지 불과 7개월 만이다. 국내 정보통신기술(ICT) R&D 사업을 총괄하며 국가 연구·개발 예산과 연구자 정보를 관리하는 핵심 기관에서 보안 사고가 발생했다는 점에서 파장이 적지 않을 전망이다.
15일 관련 업계에 따르면 정보통신기획평가원은 이달 6일 개인정보 접속기록관리 시스템이 해킹됐다. 최근 과기정통부 보안 점검 이후 정보통신기획평가원 시스템 유지·보수 업체 담당자가 방화벽 자체를 보호하는 여러 스위치 중 개인정보 접속기록관리 시스템에 실수로 '차단' 대신 '허용' 값을 입력한 것이 원인으로 알려졌다. 국가 ICT 연구·개발을 관리하는 전문 기관에서 관리자의 기본적인 보안 조치가 미흡해 사고가 발생한 셈이다.
정보통신기획평가원은 올해 기술개발 1조3256억원, 인재양성 5740억원 등 총 1조8996억원 규모의 국가 ICT R&D 예산을 관리하고 있다. 대학과 기업, 기관 소속 연구자들의 개인정보와 연구과제 정보가 시스템에 집중되는 만큼, 일반적인 정보시스템보다 훨씬 높은 수준의 보안 관리가 요구된다.
정보통신기획평가원의 해킹사고는 불과 7개월 만이다. 정보통신기획평가원은 지난해 12월 17일 외부의 해킹 시도로 직원의 개인정보 일부가 유출됐다. 기관 부서별 직무 분장 파일을 메일을 통해 전송·활용하던 상황에서 외부의 지능형 위협(APT) 공격이 지속적으로 이뤄져 데이터가 유출됐다. 당시 유출된 개인정보 항목은 직원의 소속, 직급, 성명, 사무실 전화, 담당 업무다.
홍진배 정보통신기획평가원 원장은 올해 4월 "연구자들이 혁신에 몰입할 수 있는 환경을 조성하겠다"고 밝혔지만, 정작 연구자 개인정보와 연구·개발 정보를 관리하는 자체 시스템에서 해킹 사고가 발생하면서 기관의 연구 환경의 기본인 보안 관리부터 강화해야 한다는 지적이 나온다.
정보통신기획평가원은 해킹에 따른 정보 유출 여부, 범위와 종류 등에 대해서는 아직 조사 중이라는 입장이다. 정보통신기획평가원은 접속 로그를 기반으로 다른 정보가 유출됐는지 확인하고 있다. 정보통신기획평가원 관계자는 "해킹 침해가 확인돼 개인정보보호위원회에 신고를 완료했으며 1차적으로 포렌식 검사를 했음에도 접속 기록 로그에 어떤 정보가 유출됐는지 파악되지 않아 로그 시스템을 개발한 솔루션 개발 업체가 로그를 통해 어떤 정보가 유출됐는지를 파악하고 있다"며 "연구자 개인정보 등 데이터베이스가 나갔는지는 확인 중"이라고 말했다.
반복적인 해킹 사고로 보안 관리 체계에 대한 지적이 불가피한 상황이다. 더욱이 지난해 말 해킹 사고는 사내 직원들의 정보지만, 이번 해킹은 내부가 아닌 외부에서 접속하는 연구자와 사업 참여자 로그 기록이라는 점에서 상황이 다르다.
이번 해킹은 이달 6일 발생했고, 신고는 이달 9일에야 이뤄진 것으로 전해진다. 개인정보보호법에 따르면 기업이나 기관 등 개인정보처리자는 1000명 이상 정보 주체에 관한 개인정보가 유출되거나, 민감정보 또는 고유식별정보가 유출된 경우 72시간 내 개인정보보호위원회에 신고해야 한다.
내부 사정에 밝은 한 관계자는 "정보통신기획평가원의 특성상 시스템 서비스 유형이 대국민을 상대로 한다"며 "수년간 R&D 사업에 참여한 연구자들의 정보가 포함될 가능성도 크다"고 말했다.
정부 창업 지원 플랫폼 '모두의 창업' 해킹에 이어 정보통신기획평가원 개인정보접속기록관리 시스템까지 공격을 받으면서, 연구개발과 창업 지원을 담당하는 공공 ICT 플랫폼 전반의 보안 관리 체계에 대한 점검이 필요하다는 지적이 나온다.