[과기특성화대 보안, 괜찮나①]해킹당한 카이스트와 4개 과기원은 다를까

UNIST·DGIST·GIST, 자체 보안시스템 갖췄다지만…
'대학' 아닌 '산하기관'으로 관리감독…국정원 조사가 체계화해야

(서울=뉴스1) 김정현 기자 | 2020-12-14 06:45 송고

편집자주 한국과학기술원(KAIST)이 해킹돼 3만여명의 개인정보가 유출되는 사고가 발생하면서 과학기술정보통신부 산하 연구기관의 보안 허점이 도마위에 올랐다. KAIST를 비롯해 광주과학기술원(GIST), 대구경북과학기술원(DGIST), 울산과학기술원(UNIST), 한국해양과학기술원(KIOST) 등 총 5개의 과학기술원은 겉보기엔 보통 대학과 다를 바 없지만 법적으로는 '대학'이 아니다. 제도적으로 사각지대에 놓여있는 과기특성화대의 보안 문제, 이대로 괜찮을까.

한국과학기술원(카이스트·KAIST)에서 재학생·교직원·졸업생·연구원 등 총 3만609명의 개인정보가 유출된 대규모 해킹 사고가 발생하면서 카이스트와 같은 △울산과학기술원(UNIST) △대구경북과학기술원(DGIST) △광주과학기술원(GIST)의 여타 과기특성화대의 정보 보호 안전성에 대한 관심도 커지고 있다.

그동안 재학생·졸업생 등 수많은 개인정보를 보유한 대학을 상대로 한 개인정보 탈취 시도는 자주 있었지만, '해킹'으로 만건 단위의 개인정보가 유출된 것은 카이스트가 처음이다.

이번 사태의 원인을 두고 비단 카이스트 만의 잘못이 아니라 '대학'이 아니라 '과학기술원'이라는 특수한 교육 기관에 대한 관리 구조의 문제라는 지적도 나온다.

◇UNIST·DGIST·GIST, '자체' 정보보호 시스템은 갖췄다 자부하지만…

유니스트·디지스트·지스트의 경우, 모두 '자체적인 정보보호 시스템'은 갖추고 있다고 강조한다.

유니스트 측은 "유니스트는 지난 2017년 12월부터 과기정통부가 지정한 보안관제업체와 함께 '통합보안관제서비스'를 도입해 실시 중"이라며 "이외에도 방화벽·디도스(DDoS) 방어 시스템·침입방지 시스템·내부망 분리 등 외부로부터 가해질 수 있는 사이버 공격에 대응하기 위한 장치를 마련하고 있다"고 강조했다.

디지스트는 "지난 2019년 6월 과기정통부 정보보호담당관실을 통해 전자연구노트시스템에 대한 보안성 검토를 마치고 지난 2월 취약점을 제거한 뒤 운영 중"이라고 밝혔다. 전자연구노트시스템은 이번 카이스트에서 해킹을 당한 전자문서 또는 전자화대상문서의 형태로 연구 노트를 저장·관리하는 시스템이다.

디지스트 측은 "디지스트는 과기정통부 산하 과학기술사이버안전센터의 보안관제 서비스를 받고있다"며 "DDoS공격방지시스템, 침입방지시스템, 방화벽, 웹방화벽, 좀비PC예방시스템, 개인정보암호화시스템 등도 갖췄다"고 밝혔다.

지스트 관계자는 "지스트는 방화벽·침입방지시스템, 개인정보필터링, 유해사이트 차단시스템을 운영 중"이라며 "사이버모의훈련과 정보보안교육도 실시하고 있다"고 밝혔다.

그러나 문제는 이같은 자체적인 보안 시스템은 이번에 해킹 사태를 겪은 카이스트 역시 대부분 갖추고 있었다는 점이다.

(한국인터넷진흥원 정보보호 관리체계 ISMS/PIMS 인증 홈페이지 갈무리) 2020.11.17 /뉴스1

◇과학기술원, 일반 대학과 다른 기준으로 정보보호 점검

이에 일각에서는 외부에서 각 과학기술원의 정보보호 수준을 관리·감독하는 체계 자체에 문제가 있다는 지적도 나온다.

카이스트·유니스트·디지스트·지스트 과학기술원들은 각각의 특별법에 따라 설치됐다. 고등교육법 제2조에 따라 설치된 '대학'이 아니라 교육부 산하가 아닌 과학기술정보통신부 산하 유관기관으로 분류돼있다.

일반 대학들이 '정보보호'에 대해 교육부로부터 '정보보호 수준 진단'이나 한국인터넷진흥원(KISA)이 관할하는 '정보보호관리체계(ISMS) 인증'을 받는 것과 달리 다른 '산하기관'과 유사한 관리를 받고 있는 상태다.

이들이 정보 보호에 대해 받고 있는 외부의 관리는 △국가정보원의 정보보안 관리실태평가 △과기정통부의 정보보호담당관실의 정기보안감사 뿐이다.

국가정보원은 정부 산하기관에 대해 일괄적으로 정보보안 관리실태평가를 실시하지만 과기특성화대학의 '특수성'을 감안해 보안관리를 보다 체계화·고도화할 필요가 있다는 지적이다.

◇"과학기술원, 일반 산하기관과 성격 달라…다른 관리감독 체계 필요"

한 보안업계 관계자는 "대학에 준하는 교육기관으로서 수많은 재학생과 졸업생이 있는 과학기술원은 일반 산하 기관과 성격이 다르다"며 "교육부의 대학 정보보호 수준진단 같은 관리감독 체계가 적용되는 것이 맞다고 본다"고 말했다.

과학기술원과 달리, 교육부가 매년 각 대학에 시행하고 있는 '정보보호 수준진단'은 개인정보보호 수준진단과 정보보안 관리실태평가의 지표를 기초로 '교육기관의 특성과 현실에 맞춰' 지표를 개발해 활용하고 있다.

또 수준진단 결과는 '대학알리미'를 통해 공개되고 있으며, 시·도 교육청은 기관평가에 활용하고 있다.

김현걸 한국사이버보안협회 이사장은 "교육부에서 대학을 상대로 시행하고 있는 정보보호 수준진단은 굉장히 탄탄한 편"이라며 "그동안 대학에서 발생한 개인정보 관련 사건사고 중, 해킹으로 인해 시스템이 무너져 개인정보가 유출된 일은 없었다"고 평가했다.

Kris@news1.kr