외주 제작사 도산당하거나 연락 안되는 경우 많아...난감

최근 해커들이 주로 사용하는 방법은 웹에 대한 공격 방법들이 주를 이루고 있다. 대부분의 기업과 공공기관들이 네트워크와 관련된 보안에 대해서는 어느 정도 신경을 쓰고 있기 때문에 해킹 고수가 아니라면 각종 보안장비들을 뚫고 들어오기란 만만치 않은 일이다. 

국회 디지털포럼은 국가사이버안전센터와 공동으로 지난해 말, 과기ㆍ정통부 및 산하 37개 기관을 대상으로 모의해킹을 실시했다. 그 결과 정부 산하기관의 개인정보 유출 등이 심각한 상황인 것으로 밝혀졌다. 

37개 기관중, 15개 기관이 보안대책 미비로 개인정보 유출, 홈페이지 변조, 해킹프로그램 유포에 악용 등에 취약한 것으로 나타났다. 그럼에도 불구하고 우리나라 정보보호 예산은 정보화 예산의 4.6%(730억원)에 그치고 있는 실정이다.

모 정보보호기업 관계자는 “정부기관 홈페이지들은 언론에서 밝혀진 부분보다 사실은 더 심각하다. 담당자가 해킹을 당하고 있는 것을 모르고 있는 경우도 많았고, 담당자가 있긴 하지만 간단한 소스코드 수정도 할 수 없는 비전문가가 담당하고 있는 경우도 많았다”고 밝혔다.

그는 “아무리 성능이 좋은 보안 솔루션을 도입해도 담당자가 보안에 대해 지식이 없으면 무용지물이다. 특히, 정부기관 홈페이지 대부분이 외주작업에 의존하고 있다. 그래서 보안솔루션을 적용하기 위해 어떤 소스코드를 수정해 줄 것을 요구하면 외주 제작자가 도산해서 연락이 안돼 수정할 수가 없다고 말하는 경우도 비일비재하다”고 말했다.

국가 기관 사이트들의 외주 의존도는 심각한 수준이다. 만약, 사이트를 구축한 외주기업이 망하거나 주요 담당자가 퇴사한 경우는, 후에 코드 수정작업이 필요한 경우 아주 난감한 상황이 발생한다.

정보보호 업체 관계자는 “정부기관 홈페이지에 대한 컨설팅을 실시하는 과정에서 소스코드 수정을 요구하면 우리에게 오히려 도움을 부탁하는 경우도 있다. 하지만 그런 경우는 어떻게 손쓸 수가 없다. 한 코드를 수정하면 다른 곳에 문제가 발생할 수 있기 때문에 원 개발자나 프로그래밍 지식이 있는 자가 손을 대야 한다. 실제로 이런 경우가 종종 발생한다”며, “정부기관의 외주제작사에 대한 철저한 관리가 있어야 한다”고 강조했다.  

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>