행정안전부가 국회 행정안전위원회 강기정 의원에게 제출한 중앙행정기관과 지자체가 운영하고 있는 1,461개 전자정부 웹사이트를 대상으로 한 ‘전자정부서비스 보안수준 실태조사(2008.12)’ 결과에 따르면 지방자치단체 웹사이트의 보안등급이 매우 낮고, 전자정부서비스의 사이버침해 대응 훈련 수준이 취약한 수준인 것으로 드러났다.

조사 대상기관의 보안등급 분류결과 1~2등급으로 분류된 전자정부서비스는 전체의 30%인 431개에 불과했고, 나머지 1,030개는 3~5등급으로 분류됐는데 특히, 지방자치단체의 보안등급은 매우 취약한 것으로 나타났다.

중앙기관이 제공하고 있는 서비스의 경우 267개 모두 1~2 등급으로 분류됐고, 3~5 등급으로 분류된 서비스 모두는 지자체의 전자정부 대민서비스였던 것.

세부 항목별 조사결과를 보면, 제도적 보안실태와 관리적 보안실태의 경우 ‘우수’ 평가를 받은 반면 인적 보안실태 분야와 기술적 보안실태 분야는 ‘보통’으로 분류됐다.

또한 인적 보안실태의 경우, 사이버침해 대응훈련 수준이 미흡한 것으로 분류돼 위기 상황시 대처 능력이 떨어질 수 있음을 보여줬다.

그리고 기술적 보안수준의 경우에는 해킹방지를 위한 ‘개인방화벽 기능 적용이 미흡’했고, ‘PC의 스파이웨어 차단기능 적용이 미흡’한 것으로 분류됐다.

이는 전자정부서비스 운영자의 보안수준이 매우 낮다는 점을 보여주는 것으로, 7·7 DDoS 대란과 같은 대규모 사이버 공격에 무방비로 당할 수밖에 없는 현 수준을 보여주는 대목이라는 것이 강기정 의원 측의 지적이다.

한편 정부의 DDoS 공격 대응체계 수준도 낮은 것으로 나타났다. 보안 인프라의 경우, 정부·지자체·교육기관·공공기관의 47%만이 DDoS 공격 대응시스템을 구축하고 있고, IPS 등 보안시스템 구축률도 65% 수준에 불과했다.

정보통신 기반시설 지정도 전체의 30%에 불과했는데, 국가의 주요정보통신 기반시설 보호체계가 미흡해 현재까지 주요정보통신 기반시설 지정이 지정 필요 대상 시설에 비해 30%(109개 시설)에 불과했다.

아직까지도 12곳의 시·도가 미지정 상태이고, 금융분야의 경우 은행 6개, 증권사 7개, 카드사 6개 등 민간기업 20개와 14개의 공공기관 및 준정부기관이 미지정 상태다. 이외에도 운송분야 42개, 에너지분야 74개, 산업분야 16개 등 총 210개 기관이 여전히 미지정 상태로 남아 있었다.

이에 강기정 의원은 “이번 조사 결과는 외형적으로는 세계 최고 수준을 자랑하고 있는 우리나라 전자정부의 이면을 보여주는 것이다. 운영자들에 대한 교육, 훈련 강화 및 DDoS 대응체계 구축을 위한 정부의 과감한 예산 투입, 기반시설 지정 확대를 위한 적극적인 움직임이 필요하다”고 지적하고 “아울러 현재 마련돼 있지 않은 ‘사이버 위기상황 대응 매뉴얼’을 신속히 만들 필요가 있다”고 강조했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>