법제도/정책

[국감2020] 공공기관 절반은 최소한의 보안조치도 안 했다

이종현
[디지털데일리 이종현기자] 행정안전부가 공공기관 홈페이지 1280개를 전수조사한 결과 폐쇄한 69곳을 제외한 1211개 중 585곳이 최소한의 보안 조치도 하지 않은 것으로 드러났다.

7일 국회 행정안전위원회 소속 김영배 의원(더불어민주당)은 정부입법지원센터, 군무원채용관리, 국방부 채용, 국회 의정자료 전자 유통 시스템, 국회 후원금 관리 시스템, 대법원 통합관리 시스템, 정부 전자문서 유통 지원 센터 등 개인정보와 정부 공공 문서를 주고받는 홈페이지도 보안 조치가 미적용 됐다고 지적했다.

또 국세청 정보교환시스템, 국방부 전자조달 시스템, 국방부 채용시스템, 국가기록원 기록관리 교육센터 등의 홈페이지는 국내 웹브라우저 점유율의 63.6%를 차지하는 크롬 등에서 ‘보안이 매우 취약하고 신뢰할 수 없기 때문에 접속을 권하지 않는다’는 메시지가 나타났다.

정부기관의 홈페이지가 HTTPS 보안조치를 하지 않았다는 지적은 어제오늘의 일이 아니다. 2018년 정부출연연구기관의 국정감사에서도 HTTPS 미적용이 지적된 바 있다.

김 의원은 “HTTPS를 적용했어도 포털사이트 검색을 통해 들어갈 경우 보안조치가 해제되는 웹사이트가 다수”라고 말했다.

전자정부법에 따라 행정안전부장관은 전자적 대민서비스와 관련된 보안대책을 국가정보원장과 사전 협의를 거쳐 마련해야 한다. 중앙행정기관과 그 소속 기관 및 지방자치단체의 장도 해당 기관의 보안대책을 수립·시행하도록 명시돼 있다. 법적 구속력이 없는 권고사항이나 정부 부처의 온라인 서버 및 홈페이지 구축의 기준이 된다는 것이 김영배 의원실 측 설명이다.

행정안전부는 2018년까지 정부 제작 웹서비스 인증서를 사용한 최소한의 보안 조치 지침을 정부기관에 내리고 행안부가 개발한 홈페이지 적용 인증서 설치 여부를 전수조사 후 보안이 미비한 HTTPS 적용을 돕고 권고했으나 현재는 중단 상태다.

HTTPS는 최소한의 보안조치로 불린다. 웹서버와 브라우저 간 암호화가 이뤄져 암호화가 풀지 않는 이상 열람이 불가능하다. HTTPS를 적용하지 않으면 컴퓨터와 서버간 통신을 실시간 도청·탈취하거나 조작하는 중간자 공격이 가능하다

김 의원은 “정부 웹사이트 인증서 사용 중지 및 HTTPS 관리 중단 사유인 ‘스마트폰 페이지에서 보안 적용이 안 된다’는 사실은 국민의 90% 이상이 모바일을 활용하는 현재 심각한 문제”라고도 꼬집었다. 국민의 로그인 정보가 손쉽게 탈취될 수 있는데도 관리를 멈춘 것은 대국민 신뢰성 손실 및 글로벌 수준에 미달하는 보안 수준을 나타내는 것이라는 것이 김 의원 측 주장이다.

그는 “모든 정부부처 홈페이지의 안전을 책임져야 할 행정안전부가 의무를 소홀히 하고 있어 국민의 개인정보는 물론이고 정부기관의 내부 문서를 누구나 들여다 볼 수 있는 상황”이라며 “이제부터라도 행정안전부가 전 부처의 보안조치 적용 실태를 조사하고 디지털 정부 보안 체계를 갖춰 국민들이 안전하게 서비스를 이용할 수 있도록 도와야 한다”고 피력했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널