형식적 보안감사로 정보유출 막을 수 없어

미 국무부, 1000대 이상 노트북 PC 분실 교훈 삼아야

미 하원이 국무부를 대상으로 연 감사에서 1000대 이상 노트북을 분실해 민감한 국가 보안 정보유출 가능성이 제기돼 파장이 예상되는 가운데 우리 정부와 공공기관도 형식적 보안감사에서 벗어나야 한다는 목소리가 높아지고 있다.

미 하원에 따르면 약 3000만 달러 상당에 달하는 컴퓨팅 하드웨어 행방을 파악 할 수 없으며 이 중 대부분은 노트북인 것으로 조사됐다. 특히 분실 가능성이 있는 노트북에는 400여 개 이상 테러방지 지원프로그램(ATAP)과 기밀 정보가 포함 돼 있는 것으로 파악한 것으로 나타났다.

이번 조사로 인해 미 정부와 정부기관은 노트북 PC 등으로 인한 정보유출 사고가 빈번히 발생해 이에 대한 우려와 비판이 거센 상황으로 치닫고 있다. 미국 정부의 이같은 정보 유출은 국무부뿐만 아니라 정부 곳곳에서 ‘안전 불감증’을 야기시키고 있다.

지난 2006년 보훈부는 보훈 대상자 2650만 명 정보가 담긴 외장형 하드드라이브를 분실한 바 있으며 에너지부는 인터넷 해킹으로 인해 직원 1500여 명 자료를 누출하기도 했다. 농림부는 해커가 직원 2만600여 명 데이터를 훔쳐갔을 가능성이 있다고 말해 논란이 일었고 연방무역위원회가 110명의 이름, 주소, 사회보장 번호, 금융 계좌 등 개인 정보를 담은 노트북 PC를 잃어버리는 사건이 발생하기도 했다.

이처럼 정부나 공공기관에서 공공연한 정보가 유출될 우려가 높게 제기 되면서 우리나라 보안감사 시스템도 매뉴얼을 재정비가 시급하다는 견해가 설득력을 얻고 있다. 현재 노트북이나 PC 교체 주기가 점차 빨라지고 정부에서 폐기한 노트북의 자료가 완전 삭제되지 않을 수 있기 때문이다.

더구나 보안 감사가 미리 일정을 공지한 후 시행되는데다 현재 사용 중인 컴퓨터를 대상으로 관리 일지와 파일 점검 등 위주로 이뤄져 감사 기간에만 잘 정리해두면 된다는 인식이 자리 잡고 있다.

한 공공기관 보안 담당자는 “각 부서마다 바쁜 일정과 업무로 보안감사를 꼼꼼히 볼 수 있는 상황이 되지 않는다”며 “제대로 보안 감사를 실시한다면 삭제파일 복구나 이전 사용 컴퓨터의 파기 유무 등을 꼼꼼히 살펴야 하지만 대부분 보안 감사가 주먹구구식으로 이뤄지고 있는 것은 공공연한 일”이라고 밝혔다.

한편, 미 하원 조사위원회 니타 로웨이(Nita M. Lowey) 의원은 “민감한 테러대응 정보와 개인정보를 담고 있는 정부기관 노트북 PC와 장비를 안전하게 보호하는 것이 매우 중요하지만 정부차원에서 적절한 조치를 취하는데 실패하고 있다”며 “보다 심각한 보안 문제가 발생하기 이전에 이에 대한 전면적인 조사와 실질적인 대응방안을 마련할 필요가 있다”고 지적했다.

[배군득 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>