[ⓒ 국회입법조사처]
[디지털데일리 최민지기자] 국회입법조사처가 한국연구재단 해킹 사태를 주목하며, 현행 공공기관 정보보호체계 구조적 취약성과 실효성 한계를 짚고 개선방향을 제시했다.

국회입법조사처(처장 이관후)는 오는 21일 ‘한국연구재단 해킹 사건을 계기로 본 공공기관 정보보호 강화방안’이라는 제목의 이슈와 논점 보고서를 발간한다고 20일 밝혔다.

지난 6월6일 한국연구재단(이하 재단) 논문투고시스템(JAMS)이 해킹돼 다량의 연구자 개인정보가 유출됐다.
 국가 연구개발(R&D) 지원의 핵심축을 담당하는 공공기관이 단순한 해킹기법에도 무방비로 노출됐다는 점에서, 연구 생태계 신뢰 기반을 흔들 수 있는 중대한 사안이라는 지적이다.

해커는 이메일 정보와 인터넷주소(URL) 조작만으로 시스템에 침투해 비밀번호 초기화를 시도했고, 이로 인해 전체 JAMS 이용자 약 79만명 중 12만여명 개인정보가 유출됐다.
 이후 유출 정보를 이용해 일부 피해자 명의가 도용되는 2차 피해도 발생했다.

이에 보고서는 ▲공공기관 사이버보안 자체 보안점검 법적 근거를 상위 법률로 격상 후 제재 수단 도입 ▲유출 인지 즉시 우선 통지 의무화 예외 조항 규정 ▲공공기관 ISMS 인증 및 정보보호 공시 의무대상에 포함 ▲과학기술정보통신부 사이버안전센터 등 관제체계 재점검 등 제도 개선을 요구했다.

우선, 공공기관 사이버보안 자체 진단·점검은 대통령령인 ‘사이버안보 업무규정’에 기반해 운영되고 있으나, 미이행 시 제재가 없어 실효성이 낮다는 설명이다.
 자체 보안점검의 법적 근거를 ‘전자정부법’ 등 상위 법률로 격상하고, 일정 기한 내 시정조치를 의무화하며, 과태료 등 제재 수단을 도입해야 한다고 주장했다.

현행 ‘유출 인지 후 72시간 이내 통지’ 규정 경우, 현장에선 이를 72시간까지 통지를 미루는 근거로 오용되는 경향이 있다.
 그러나 주민등록번호·금융정보 등은 즉각적 대응이 필수인 만큼 ‘개인정보 보호법 시행령’에 ‘인지 즉시 우선 통지’를 의무화하는 예외 조항을 요청했다.

보고서는 “이번 사건에서도 재단은 과기정통부(사이버안전센터) 주관 정밀 조사에서 유출 사실을 확인했음에도 72시간 동안 피해 규모 미확정을 이유로 기존의 ‘유출 없음’ 공지를 유지했다”며 “이로 인해 공공기관으로서의 책임성과 신뢰성을 훼손하고 2차 피해 가능성을 키웠다는 비판을 받았다”고 꼬집었다.

현재 재단을 포함한 대다수 공공기관은 정보보호관리체계(ISMS) 인증 및 정보보호 공시 의무 대상에 제외돼 있다.
 보고서는 공공기관도 의무 대상에 포함하는 방향으로 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ ‘정보보호산업의 진흥에 관한 법률’ 개정 검토를 시사했다.

보고서는 “재단의 공동 주무부처인 과학기술정보통신부와 교육부 역시 이번 사건의 책임에서 자유로울 수 없다”며 “과기정통부는 보다 적극적인 관리‧감독과 제도 정비에 나서야 하며, 그 이행의 적절성은 국정감사 등을 통해 엄정하게 점검될 필요가 있다”고 지적했다.

이어 “사이버안전센터 24시간 통합관제에도 불구하고 1·2차 피해 모두 외부 ‘의심 신고’로 뒤늦게 인지된 점은 현행 관제 체계가 제대로 기능하지 않았음을 보여주는 사례로, 관제 체계 전반의 재점검이 시급하다”고 덧붙였다.