기상청에 대한 해킹시도가 매년 1000건에 달하지만 기상청의 정보보안 관리실태는 낙제점 수준이어서 보안 강화가 시급한 것으로 드러났다.
국회 환경노동위원회 소속 송옥주 의원(더불어민주당, 비례대표)이 기상청으로부터 제출받은 기상청과 국가정보원의 ‘기상청 정보보안 관리실태 평가’ 비공개 자료에 따르면 DB에 원격 접속될 수 있거나 통제 없이 USB 반출이 가능하는 등 기상청의 사이버·정보 보안수준이 취약한 것으로 평가됐다.
자료에 따르면 최근 5년간(2013~2017년 9월) 기상청 정보시스템에 대한 사이버 침해 시도는 총 4958건에 달한다. 특히 지난해에는 796건으로 2013년 428건에서 비해 약 2배 가까이 증가했다.
사이버침해 시도의 국가별(IP) 경로를 보면 중국이 전체의 31.1%인 1542건으로 가장 많았다. 이어 미국 907건(18.3%), 국내 456건(9.2%), 프랑스 190건(3.8%), 러시아 176건(3.5%) 순이었다.
기상청은 ‘국가정보보안 기본지침’에 따라 국정원이 매년 ‘정보보안 관리 실태’를 평가하고, ‘정보통신기반 보호법’제9조에 따라 매년 자체적으로 용역을 통해 주요통신기반시설인 종합기상정보시스템의 취약점 분석·평가를 실시하고 있다.
기상청이 지난 9월 주요통신기반시설인 종합기상정보시스템의 취약점을 자체 분석한 결과, 전체 보안수준은 77.9점으로 ‘보통’ 수준이었으나, 데이터베이스와 서버와 같은 중요한 분야인 ‘기술적 보안’은 점검 항목 1785개 중 562개인 31.5%가 취약한 것으로 나타났다. 평가 점수는 작년 81점에서 올해 64.9점으로 대폭 하락했다.
특히, 데이터베이스 분야는 지난해 81점에서 올해 50점으로 30점 넘게 하락해 ‘취약’ 평가를 받았다.
국정원이 기상청의 정보보안 관리실태를 평가한 결과, 2016년에 ‘미흡’ 등급으로 나타났다. 이는 2015년에 80.7점 ‘양호’에서 2016년 67.8점으로 떨어진 것으로 다른 중앙부처는 73.2점에서 78.3점으로 상승한데 비해 기상청은 뒷걸음질 치고 있었다.
총 7개 점검 분야 중 5개 분야인 ‘정보자산 보안관리’, ‘인적 보안’, ‘사이버위기 관리’, ‘전자정보 보안’, ‘정보시스템 보안’ 등은 점수가 하락했다.
특히, 용역업체 보안 점검 등을 점검하는 ‘인적 보안’은 16.2점에서 9.6점(17점 만점)으로 2015년에 비해 점수가 41% 정도 하락했고 ‘정보시스템 보안’ 부분과 ‘전자정보 보안’ 부분은 100점 만점으로 보면 50점도 넘기지 못해 취약한 상태인 것으로 드러났다.
송 의원은 “기상청은 국가 기간 정보통신시스템을 운영하는 기관이기에 어느 곳보다 정보보안이 철저해야 함에도 실상은 너무 허술했다”며 “일반 국민들도 지키는 기초적인 보안원칙을 기상청이 지키지 않고 사이버·정보 보안이 뒷걸음질 치고 있는 것은 문제”라고 지적했다.
이어 “기상청은 사이버·정보 보안을 철저히 점검·보완하고 필요한 인력을 보강해 기상정보 제공에 차질이 없도록 특별 관리가 필요하다”고 요구했다.
댓글
(0)