[단독]3만명 개인정보 유출한 카이스트에 국정원은 보안등급 'A' 부여

카이스트가 과기정통부에 제출한 관련 자료 입수
5월 점검서 A등급 받고 11월 해킹 사태 벌어져

(서울=뉴스1) 조소영 기자 | 2020-12-23 09:03 송고 | 2020-12-23 17:03 최종수정

<뉴스1>이 입수한 한국과학기술원(KAIST·카이스트)이 과학기술정보통신부에 제출한 자료 갈무리. © 뉴스1

최근 해킹을 당해 재학생과 교직원은 물론 졸업생 개인정보까지 유출한 한국과학기술원(KAIST·카이스트)에 국가정보원이 보안등급 상위 레벨인 'A등급'을 부여했던 것으로 확인됐다. 카이스트는 이번 해킹 사태로 총 3만607명의 개인정보를 유출했다.

23일 <뉴스1>은 이같은 내용이 담긴 과학기술정보통신부 자료를 입수했다. 카이스트가 과기정통부에 제출한 해당 자료에 따르면 카이스트는 올해 5월 국정원이 실시한 '연구보안평가'에서 A등급을 맞았다.

국정원은 카이스트를 포함해 4대 과학기술연구원에 대해 '연구보안평가'를 3년에 한번씩 실시하고 있다. 보안평가는 보안관리체계·연구인력 관리·연구시설 관리·연구과제 관리·정보통신보안 등 5개 항목에 대해 이뤄진다.

하지만 국정원으로부터 A등급을 받은 이후 불과 6개월만에 카이스트의 전자연구시스템이 해킹돼 개인정보가 유출되는 사고가 발생하면서 국정원의 평가가 적절했느냐는 지적이 나온다.

<뉴스1>은 국정원이 부여한 A등급의 수준을 좀 더 정확히 파악하기 위해 이같은 등급 결과를 받는 또 다른 기관(정부출연연구기관)에 전달하는 국가과학기술연구회(NST)에 '연구보안평가 등급체계'를 요청했지만 "대외비이기 때문에 등급체계를 밝히기 어렵다"고 했다.

다만 업계에 따르면 국정원의 보안평가는 '국가 안보' 차원에서 수행되는 검사다. 정부 부처와 산하 공공기관, 연구기관 등에 수행되는 만큼 평가체계가 엄중하고 철저하게 진행된다. 이런 평가에서 A등급을 받았지만 해킹에는 속수무책으로 뚫린 것이다.

국가정보원은 정부 산하기관에 대해 일괄적으로 정보보안 관리실태평가를 실시하지만 과기특성화대학의 '특수성'을 감안해 보안관리를 더욱 체계화·고도화할 필요가 있다는 지적도 나온다.

국정원의 보안평가와 카이스트 관리 주무부처인 과학기술정보통신부의 정보보안 점검이 '온도차'를 보이는 것도 주목할만한 대목이다.

과기정통부는 관련법에 따라 3년에 한번씩 카이스트 등 4대 과학기술원에 대해 '정보보안감사'를 실시하고 있다. 평가는 62개 항목의 정보보안 및 39개 항목의 개인정보보호 분야를 대상으로 이뤄진다.

과기정통부는 국정원 보안평가가 이뤄진 후 불과 1개월이 지난 6월에 카이스트에 대해 이같은 정보보안감사를 실시했는데 '보통' 등급 판정을 내렸다. '보통'은 과기정통부의 등급체계상 3등급(우수-양보-보통-미흡)에 해당하는 하위 등급이다.

불과 한 달 간격으로 국정원은 카이스트의 보안 상태에 사실상 최고 등급을 부여했으나 과기정통부는 하위 등급을 통보한 셈이다.

보안전문가는 이와 관련 "과기정통부의 정보보안 감사는 비교적 세부 항목으로 나뉘어 있어 다양한 분야를 꼼꼼히 체크하다보니 카이스트가 보통 등급으로 나오고, 국정원 평가는 과기정통부 감사보다 다소 러프한 수준이어서 등급이 높게 나온 것으로 보인다"고 말했다.

이 전문가는 이어 "보안 취약점은 단 하나만 있어도 마치 저수지의 둑이 터지듯 모든 보안장벽이 무효화될 수 있는 특징을 가지고 있다"면서 "국정원의 평가와 과기정통부 감사 모두 '토털 보안'이 이뤄지는지를 보는 관점이 중요하다"고 강조했다.

이와 관련 과기정통부 측은 "아무리 높은 등급의 보안평가를 거쳤다 하더라도 해킹은 언제라도 발생할 수 있다"면서 "정부의 보안평가는 보안이 완벽하다는 의미가 아니라 정보보호, 해킹 방어 등을 위한 '최소한의 조치'를 이행했는지를 보는 과정이라고 보면 될 듯하다"고 설명했다.

보안평가 및 감사 간격이 다소 길다는 점도 지적됐다.

보안 전문가는 "두 기관 모두 보안평가 및 감사를 3년에 한번 실시하는데, 감사 이후 간격이 꽤 길다는 점을 고려하면 평가 및 감시 기간을 엇갈리게 배치해 피감기관이 1~2년에 한번 평가를 받는 식으로 하면 같은 평가를 받으면서도 보안에 더욱 심혈을 기울이는 결과를 도출할 수 있을 것"이라고 조언했다.

과학계 관계자도 "이번 해킹 사태는 카이스트는 물론 과기정통부, 국정원 모두가 자성해야할 사안"이라며 "과학기술에 대한 공적 책무를 자각해야 한다"고 강조했다.

이같은 문제 제기에 대해 국정원 관계자는 "국정원의 연구보안 평가는 연구자료의 해외 유출 예방이 주목적으로 개인정보 보호 평가는 항목에 포함되지 않는다"며 "따라서 카이스트의 개인정보 유출 사고와 연결 짓는 것은 무리"라고 말했다. 또한 연구 보안평가에 대해서도 "동 평가는 절대평가 방식으로 진행되는데, 세부 순위를 공개할 수는 없지만 카이스트는 전체 평가 대상 기관 중 높은 평가를 받은 것은 아니다"라고 해명했다.

cho11757@news1.kr