科学技術情報通信部傘下の研究開発(R&D)管理専門機関である情報通信企画評価院(IITP)の個人情報接続記録管理システムがハッキング被害に遭った。昨年末のハッキング事故発生からわずか7カ月ぶりだ。国内の情報通信技術(ICT)R&D事業を総括し、国家の研究・開発予算と研究者情報を管理する中核機関でセキュリティ事故が発生した点で、波紋は小さくない見通しだ。
15日、関連業界によると、情報通信企画評価院は今月6日に個人情報接続記録管理システムがハッキング被害に遭った。最近の科学技術情報通信部のセキュリティ点検後、情報通信企画評価院のシステム維持・保守業者の担当者が、ファイアウォール自体を防御する複数のスイッチのうち個人情報接続記録管理システムに誤って「遮断」ではなく「許可」値を入力したことが原因とされる。国家のICT研究・開発を管理する専門機関で管理者の基本的なセキュリティ措置が不十分で事故が発生した格好だ。
情報通信企画評価院は今年、技術開発1兆3256億ウォン、人材養成5740億ウォンなど計1兆8996億ウォン規模の国家ICT R&D予算を管理している。大学や企業、機関に所属する研究者の個人情報と研究課題の情報がシステムに集約されるだけに、一般的な情報システムよりはるかに高い水準のセキュリティ管理が求められる。
情報通信企画評価院のハッキング事故はわずか7カ月ぶりだ。情報通信企画評価院は昨年12月17日、外部からのハッキング試行により職員の個人情報の一部が流出した。機関の部署別職務分掌ファイルをメールで送信・活用していた状況で、外部の高度標的型攻撃(APT)が持続的に行われ、データが流出した。当時流出した個人情報項目は、職員の所属、職級、氏名、オフィス電話、担当業務だ。
ホン・ジンベ情報通信企画評価院院長は今年4月「研究者がイノベーションに没頭できる環境を整える」と述べたが、当の研究者個人情報と研究・開発情報を管理する自前のシステムでハッキング事故が発生し、機関の研究環境の基本であるセキュリティ管理から強化すべきだとの指摘が出ている。
情報通信企画評価院は、ハッキングに伴う情報流出の有無、範囲と種類などについては、いまだ調査中という立場だ。情報通信企画評価院は接続ログを基に他の情報が流出したかを確認している。情報通信企画評価院関係者は「ハッキング侵害を確認し個人情報保護委員会に通報を完了した。一次的にフォレンジック検査を行ったにもかかわらず、接続記録ログでどの情報が流出したか把握できず、ログシステムを開発したソリューション開発業者がログを通じてどの情報が流出したかを把握している」と述べ、「研究者個人情報などデータベースが流出したのかは確認中だ」と語った。
繰り返されるハッキング事故で、セキュリティ管理体制への指摘は避けられない状況だ。さらに、昨年末のハッキング事故は社内職員の情報だったが、今回は内部ではなく外部から接続する研究者と事業参加者のログ記録という点で状況が異なる。
今回のハッキングは今月6日に発生し、通報は今月9日になって行われたと伝えられる。個人情報保護法によれば、企業や機関などの個人情報取扱事業者は、1000人以上の情報主体に関する個人情報が流出した場合、またはセンシティブ情報もしくは固有識別情報が流出した場合、72時間以内に個人情報保護委員会に通報しなければならない。
内部事情に詳しいある関係者は「情報通信企画評価院の特性上、システムのサービス類型は広く国民を対象とする」とし、「数年間R&D事業に参加した研究者の情報が含まれる可能性も大きい」と語った。
政府の起業支援プラットフォーム「モドゥエ・チャングプ(みんなの起業)」のハッキングに続き、情報通信企画評価院の個人情報接続記録管理システムまで攻撃を受け、公的なR&Dと起業支援を担う公共ICTプラットフォーム全般のセキュリティ管理体制について点検が必要だとの指摘が出ている。