공공기관의 주요 보안 취약점
공공기관의 정보 시스템은 방대한 양의 데이터를 다루고 있음에도 불구하고, 다음과 같은 취약점들이 존재합니다:
- 노후화된 시스템: 많은 공공기관이 여전히 오래된 서버, 운영체제, 보안 장비를 사용 중이며, 이는 제로데이 취약점에 취약
- 계정 관리 미흡: 퇴직자 계정이 삭제되지 않거나, 관리자 계정이 다수 공유되는 등 기본적인 계정 관리가 허술
- 형식적 보안 점검: 감사용 보안 점검은 있지만 실제 보안 운영에는 반영되지 않는 경우가 많음
- 민간 대비 낮은 기술력: 민간 보안 솔루션에 비해 공공기관의 보안 도구는 업데이트가 느리고 한정적
예를 들어, 2023년 감사원 보고서에 따르면 전체 공공기관의 25% 이상이 취약점 패치를 6개월 이상 미루고 있었고, 백신 프로그램 미설치 또는 방치 사례도 다수 존재했습니다.
이러한 환경은 국가 차원의 사이버 안보를 약화시키는 요인으로 작용하며, 북한, 중국, 러시아 등의 국가 기반 해커 그룹이 표적으로 삼기 쉬운 구조를 만듭니다.
대응체계의 한계와 분산된 책임 구조
공공기관의 사이버 보안 대응체계는 여러 부처 및 기관으로 나뉘어 있어, 통합된 대응이 어렵다는 지적이 많습니다.
- 복수 컨트롤타워 존재: 행정안전부, 과학기술정보통신부, 국정원 등 각각의 역할이 분산되어 있음
- 기관별 보안 수준 편차: 대형 정부기관과 지방자치단체, 산하기관 간 보안 인프라 수준 격차가 큼
- 예산 배정 불균형: 핵심 인프라에 집중되고, 중소 규모 기관은 방치되는 사례 다수
- 정보 공유 미흡: 기관 간 위협 정보 공유 시스템이 구축되어 있지 않거나 실시간 연동이 어려움
이러한 구조는 침해 사고 발생 시 즉각적인 협업과 전파가 어렵게 만들며, 사고 확산 가능성을 키우는 결과로 이어집니다.
미국의 경우, **CISA(국토안보부 산하 사이버 안보 기관)**가 연방, 주, 지역 기관의 보안을 통합 관리하고 위협 정보를 실시간 공유합니다. 한국 역시 국가 사이버 보안 대응 체계를 통합하고, 위협 정보 통합 플랫폼 및 대응 프로토콜 정비가 필요한 시점입니다.
공공 사이버 보안의 개선 과제
공공기관 사이버 보안 리스크를 줄이기 위해선 다음과 같은 전략적 개선이 필요합니다:
- 법적 기반 강화
- 「국가사이버안보기본법」 등의 입법을 통해 공공기관 보안 책임과 기준을 명확히 해야 함
- 보안 미준수 시 책임자 처벌, 인증 취소 등의 제재 조항 필요
- 예산 및 전문 인력 확보
- 정보보호 전담 인력 비율 확대
- 외주 용역이 아닌, 내부 역량 중심의 보안 체계 강화
- 공공-민간 협력 체계 구축
- 민간 보안기업의 전문 솔루션과 노하우 공유
- 위협 인텔리전스 기반 공동 대응 체계 마련
- 보안문화 확산 및 교육
- 형식적인 교육이 아닌, 실제 사례 기반의 반복 훈련 및 모의 해킹 훈련 필요
- 전 직원 대상 보안 책임 의식 강화
공공기관은 단순히 데이터를 보유한 주체를 넘어, 국가 기반 서비스를 운영하는 핵심 인프라입니다. 보안에 대한 투자와 준비가 곧 국가 전체의 신뢰도와 생존력을 좌우한다고 해도 과언이 아닙니다.