[디지털데일리 권하영 기자] 한국과학기술기획평가원(이하 KISTEP)이 약 155억원을 들여 범부처 연구지원시스템(이하 IRIS)과 전산인프라를 구축했지만, 보안 관리는 허술했던 것으로 확인됐다. 이와 관련해 과학기술정보통신부는 자체감사를 진행, KISTEP에 시정조치를 내렸다.

17일 관련업계에 따르면 KISTEP은 지난 2020년부터 104억7553만원을 들여 범부처 IRIS 구축 사업을 진행했다. 범부처 IRIS는 각 전문기관별로 운영 중인 과제관리·연구비관리 시스템을 통합하고, 각 부처·기관·사용자가 원활히 사용할 수 있도록 한 시스템이다. KISTEP은 2021년부터 전산인프라 구축 사업에도 49억4670만원을 투입했다.

과학기술정보통신부(이하 과기정통부)의 정보보안 기본지침에 따르면, 각급기관의 장은 정보시스템을 개발하는 경우 보안약점이 발생하지 않도록 개발하고 정보시스템 감리 등을 통해 보안약점을 진단하도록 정하고 있다. KISTEP 역시 기본적인 보안진단과 함께 전문적인 모의해킹 등을 통해 보안취약점을 사전에 제거할 의무가 있다.

KISTEP은 그러나 IRIS와 관련해 ‘시큐어코딩 점검’과 ‘SW보안약점 진단’만 실시하고, 사이버 공격에 대비한 침투 시나리오 기반의 모의해킹 등을 통한 보안진단은 실시하지 않은 것으로 나타났다. KISTEP은 이 상태에서 2021년 11월22일 IRIS에 대한 시범 운영을 시작했다. 과기정통부는 이를 사업수행 관리소홀로 판단한 상황이다.

IRIS를 구축하면서 클라우드 시스템 구축과 전산인프라 구축 사업을 함께 추진했지만, 이마저 허점이 있었다. KISTEP은 IRIS와 관련해 행정안전부(이하 행안부) 등에서 운영하는 공공클라우드를 활용하지 않고 자체적으로 클라우드를 구축했으며, 해당 자체 클라우드는 공공클라우드센터로 공식적인 인정을 받지도 못한 상태였다.

행안부에 따르면, 행정기관 및 공공기관의 장은 정보자원을 신규로 도입·교체할 때 민간클라우드센터 또는 공공클라우드센터를 이용해야 한다. 제도적･기술적 제약이 있을 때에만 자체 전산실을 설치하는 것이 허용된다. KISTEP 역시 공공기관으로서 2025년까지 정보자원을 공공 또는 민간 클라우드로 전환해야 한다.

자체 클라우드 방식으로 계속 운영할 경우, 전력 등 공공클라우드센터 지정요건을 갖춰 행안부 장관 승인을 받아야 하지만, 이에 대한 대책은 아직 마련돼 있지 않은 실정이다. 행안부에서 운영하는 다른 공공클라우드 등으로 전환할 경우, 이전비용에 대한 예산 확보와 기존 시스템의 활용 방안 등 검토도 필요하지만 역시 없었다.

서버보안 이행실적도 미흡한 것으로 나타났다. IRIS의 경우 관리자용과 개별 사용자용 서비스에 대한 접근경로를 별도로 분리 설계하지 않고, 동일경로를 통해 접근하도록 개발돼 있었다. 그 결과, 관리자 권한이 부여된 사용자의 개인정보 등이 노출되는 경우 관리자의 권한까지 노출될 수 있어 보완이 시급한 상황이다.

이에 과기정통부는 IRIS에 대한 시나리오 기반 모의해킹을 통한 보안약점 진단이 실시될 수 있도록 이행 관리를 철저히 할 것을 시정조치로 내렸다. 또한 클라우드 전환 방향을 명확하게 설정에 그 후속조치를 시행하고, IRIS 서비스가 관리자용과 개별사용자용으로 구분･운용될 수 있도록 적정방안을 마련할 것을 통보했다.