지난 6월 해킹으로 과학자 12만명의 개인정보가 유출된 한국연구재단에서 24시간 해킹 관제 시스템이 제대로 가동되지 않은 것으로 나타났다. 해킹 피해를 보상하는 방안도 예산 부족을 이유로 제대로 마련하지 않고 있다.
22일 국회와 연구재단 등에 따르면, 국회입법조사처는 이달 초 한국연구재단 정보보안 강화를 위한 입법 과제를 논의하기 위해 간담회를 개최했다. 이 자리에는 한국연구재단과 교육부, 국회입법조사처 관계자가 참석했다.
한국연구재단은 지난달 온라인 논문투고 심사시스템(JAMS)이 해킹당해 12만명에 달하는 과학자 개인정보가 유출됐다. 당시 해킹으로 JAMS 이용자 79만명 중 12만2954명의 개인정보가 유출됐다. 회원 가입 시 입력한 개인정보(이름, ID, 생년월일, 휴대전화, 직장, 계좌 등)가 모두 유출됐고, 이 중 116명은 주민등록번호까지 유출됐다.
해킹이 발생하고 열흘이 지난 6월 17일에는 피해자 중 1559명의 명의로 특정 학회에 무단 가입된 사실이 확인됐다. 명의도용이라는 2차 피해가 확인된 셈이다.
이번 간담회에서는 한국연구재단에서 대규모 해킹 피해가 발생한 원인이 구체적으로 드러났다. 한국연구재단은 사이버안전센터가 24시간 통합 관제를 진행하고 있어 해킹이 진행되면 곧바로 알아차릴 수 있다. 하지만 연구재단이 해킹 사고를 인지한 건 6월 6일 오전 9시 45분으로 해킹이 발생한 지 7시간이 지난 뒤였다. 그마저도 의심 신고가 접수돼 해킹 사고를 인지할 수 있었다. 연구재단이 주무부처인 과학기술정보통신부에 해킹 사고를 신고한 건 오후 10시 50분으로 해킹이 발생한 지 20시간이 지난 뒤다.
이렇게 인지가 늦은 것에 대해 연구재단은 '사람이 없어서'라는 해명을 내놨다. 이원덕 연구재단 정보보안팀장은 간담회에서 인력 부족으로 24시간 해킹을 관제하는 시스템을 가동하지 못했다고 밝혔다. 이에 대해 연구재단 관계자는 "사이버안전센터가 24시간 통합 관제를 맡고 있지만, 해킹 사실을 파악하지 못했다"며 "이원덕 팀장의 말은 사이버안전센터 외에 연구재단에 별도의 해킹 관제 시스템이 없다는 의미"라고 설명했다.
연구재단은 해킹 사건 이후 TF를 꾸리고 재발 방지 대책을 수립하고 있다고 밝혔다.
피해자 보상 방안도 마뜩찮다. 연구재단은 간담회에서 피해자 보상 방안으로 논문 심사료를 한시적으로 낮춰주는 방안을 검토하고 있다고 밝혔다. 다른 대규모 해킹 사태 때 보상금을 지급하는 것과 다른 대처다. 이에 대해 이석래 연구재단 사무총장은 간담회에서 공공기관이라 보상금 지급을 위한 예산 확보가 어렵다는 이유를 댔다.
연구재단 관계자는 "다양한 피해 보상을 검토하고 있고, 논문 심사료를 낮춰주는 방안도 그 중 하나로 검토하고 있는 것"이라고 말했다.
국회입법조사처는 연구재단을 비롯한 공공기관 정보보호 체계에 심각한 취약점이 있다며 제도 보완 등을 주문했다. 황현희 국회입법조사처 과학방송통신팀장은 '이슈와 논점' 보고서를 통해 "공공기관의 사이버보안 진단·점검의 법적 근거를 상위 법률로 격상하면서 제재 수단을 도입하고, 정보보호 인증 및 공시 의무 대상을 공공기관까지 확대하는 방향으로 정보통신망법 등의 개정을 검토할 필요가 있다"며 "고위험 정보 등이 유출된 경우에는 '인지 즉시 우선 통지'를 의무화하는 방안도 고려할 수 있다"고 말했다.
또 공공기관의 해킹 피해에 대한 보상 제도도 다시 마련해야 한다고 강조했다. 개인정보 유출은 민간, 공공을 불문하고 동일한 피해로 이어지는 만큼 공공기관 해킹 피해에 대해서도 실효성 있는 손해배상체계가 필요하다는 지적이다.