이해민 의원 "백업 미비 국정자원이 보안인증 통과…제도 허점"

(서울=뉴스1) 윤주영 기자 = 화재로 인해 대규모 전산마비 사태를 초래한 대전 국가정보자원관리원이 불과 한 달 전 정보보호관리체계 인증 'ISMS'를 통과한 것으로 확인됐다.

인증은 재해복구 항목을 담고 있지만, 정작 이를 통과한 국정자원은 G드라이브 공무원 업무자료 등 백업 미비로 서비스 복구에 어려움을 겪고 있다.

인증 주관기관인 한국인터넷진흥원(KISA)이 제도를 형식적으로 운영한다는 비판이 나온다.

10일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원은 KISA가 보고한 국정자원 인증 현황을 공유했다.

국정자원은 행안부 소관의 정부 기관이기 때문에 민간 대상의 ISMS 인증을 받을 필요는 없다. 하지만 국정자원은 자율적으로 인증을 신청, 지난달 3일 '운영 부문'(대전·대구·광주 센터), '개인정보처리시스템 부문'(방문자관리·통합운영관리지원·출입통제)에서 인증을 받았다.

ISMS의 총 80개 심사 항목 중에는 △재해·재난 대비 안전조치(재해유형 식별, 복구 목표시간 정의, 복구계획 수립·이행) △재해복구 시험 및 개선(복구 시험 계획·실시, 정기적 검토·보완) △백업 및 복구관리(백업 대상·주기·방법, 복구 절차 수립·이행, 정기적 복구 테스트) 등이 담겼다.

하지만 국정자원의 화재 복구 과정에서 이같은 기본적인 재해 대비 체계와 복구 계획이 작동하지 않았음이 드러났다. 이를 두고 ISMS 인증 심사가 '형식적 통과'에 불과한 것 아니냐는 지적이 나온다.

이해민 의원은 "(대전 국정자원은) 이중화·이원화는커녕 백업도 제대로 하지 않은 상황이었다. 그럼에도 재난·재해 대비 수준을 '적정'하다고 판정해 준 ISMS 인증제도를 과연 어디까지 신뢰할 수 있을지 심각한 의문이 든다"고 날을 세웠다.

이어 "정부가 형식적인 인증 건수 늘리기에 급급해선 안 된다"며 "실제 보안, 재해복구 수준을 담보할 수 있는 근본적인 개선책을 시급히 마련하라"고 주문했다.

이 밖에도 최근 굵직함 사이버 침해사고를 허용한 SK텔레콤(017670)·롯데카드·예스24·KT(030200) 등도 이 인증을 받았다. 별다른 보완책 없이 주요 계정정보를 평문으로 저장하거나, 중대 취약점을 수년씩 방치하는 허점을 보인 곳들이다.

이 역시 ISMS 인증의 떨어지는 실효성이 주요 원인으로 지목된다. 이달 13일 시작되는 국정감사에서 과방위는 이를 들여다볼 예정이다.

legomaster@news1.kr