정부 중앙부처 및 지방자치단체에 대한 해킹 시도가 매년 10만 여건을 넘고 있지만, 정부가 마련한 정보보호에 필요한 최적 인력(중앙부처 17명·지자체 22명) 기준을 갖춘 곳은 단 한 군데도 없는 것으로 나타났다.
최소 인력(중앙부처 9명·지자체 12명) 기준을 갖춘 곳도 중앙부처 43개 가운데 11개(25.59%) 뿐이었다. 지자체의 경우 전국 17개 가운데 1개(0.09%)에 불과했다. 사실상 국민의 민감한 정보를 갖고 있는 정부 기관의 정보보호에 구멍이 나있는 셈이다.
30일 국회 행정안전위원회 소속 이영 국민의힘 의원이 행정안전부로부터 제출받은 자료에 따르면 최근 5년간 중앙부처 및 지자체에 대한 해킹 시도 및 차단 건수는 평균 10만4759건으로 나타났다. 연도별로는 2016년 6만4983건, 2017년 7만5724건, 2018년 11만3546건, 2019년 14만6973건, 2020년 12만2571건이었다.
이 가운데 중앙부처는 ▲2016년 5만3550건 ▲2017년 6만2532건 ▲2018년 9만4980건 ▲2019년 12만4754건 ▲2020년 10만8810건 등이었다. 지자체는 ▲2016년 1만1433건 ▲2017년 1만3192건 ▲2018년 1만8566건 ▲2019년 2만2219건 ▲2020년 1만3761건 등으로 집계됐다.
해킹 시도를 유형별로 보면 웹해킹을 통한 해킹 시도가 43만7582건(83.54%)으로 가장 많았다. 비인가접근 4만1875건(7.99%), 서비스거부 1만3207건(2.52%), 악성코드 1만1745건(2.24%), 기타 19,388건(3.70%) 순으로 많았다.
국가 인터넷 주소(IP)별로는 중국이 13만9435건(26.62%)으로 가장 많았다. 미국 9만1414건(17.45%), 한국 4만7773건(9.12%), 러시아 2만2383건(4.27%), 프랑스 1만8159건(3.47%) 등이 뒤를 이었다.
해킹 시도 및 차단 건수가 이러한 현황을 보이고 있지만, 실제로는 더 많이 이뤄지고 있을 수 있다는 지적도 나온다. 행정안전부 관계자는 “해킹 시도 및 차단 건수는 적발된 건수만을 담고 있는 것”이라며 “실제 벌어지는 사이버 공격 수는 더 많을 수 있다”고 했다고 이영 의원 측에 전했다.
정부는 해킹 시도에 대응하기 위해 지난 2017년 한국인터넷진흥원(KISA)과 고려대에 의뢰해 ‘정부 기관의 정보보호 적정인력’을 산출했다. 보고서에 따르면, 중앙부처의 최적 인력은 평균 17명, 최소 인력은 평균 9명이었고, 지방자치단체의 최적 인력은 평균 22명, 최소 인력은 평균 12명이었다.
하지만 중앙부처와 지자체 가운데 적정 인력을 갖춘 곳은 단 한 군데도 없었다. 중앙부처의 평균 정보보호 인력은 6명으로 최소 인력인 9명에도 미치지 못했다. 부처별로는 행안부가 15명으로 가장 많았고, 기획재정부(10명), 법무부(10명), 농림축산부(10명), 환경부(10명), 고용노동부(10명), 문화체육관광부(9명), 보건복지부(9명), 국토교통부(9명), 병무청(9명), 산림청(9명) 등이었다.
나머지 32개 중앙부처는 최소 인력조차 갖추지 못했다. 특히 소방청·인사혁신처·국가인권위원회는 정보보호 인력이 1명에 그쳤고, 법제처·여성가족부·국방부본부 등도 2명으로 나타났다. 사정기관인 경찰청과 검찰청의 정보보호 인력은 각각 3명과 4명이었다.
광역지자체별 정보보호 인력은 서울이 13명으로 가장 많았고, 전국 지자체 가운데 유일하게 정보보호 최소 인력 기준(12명)을 넘겼다. 부산이 11명으로 뒤를 이었고, 경기·경남(10명), 광주·대전(9명), 대구·인천·세종(8명), 강원·충남·전북·전남(7명), 경북·울산·충북(6명), 제주(4명) 등 이었다.
이영 의원은 “초연결 시대에 사이버 공격이 민간, 공공 가릴 것 없이 전방위적으로 확대되며 피해 규모도 늘고 있어 정부가 용역을 바탕으로 적정 인력을 산출해 정보보호 인력 확보에 참고하고 있다고 밝혔지만, 실제 인력 운영은 기준과 차이가 크다”면서 “실효성 있는 보안 정책 수립해 정보보호 전문 인력 확보는 물론, 사이버안보를 총괄 대응할 수 있는 국가적 컨트롤타워 구축을 검토해야 한다”고 했다.