국가정보원, ‘공공기관 정보보안 관리실태’ 결과 공개
관리적 보안 수준은 향상했지만 기술적 보안 수준은 아직 미흡
ICT/정보보호 분야 공공기관 중에는 KISA 등이 우수, NIA 등이 미흡으로 드러나
[보안뉴스 원병철 기자] 국가·공공기관의 정보보안 관리실태가 지난해보다는 나아졌지만, 아직도 정보시스템에 대한 접근통제가 미흡하고, 지원이 종료된 운영체제를 사용하는 등 취약한 곳이 있는 것으로 확인됐다.
[이미지=gettyimagesbank]
국가정보원은 2007년부터 시행하고 있는 ‘정보보안 관리실태 평가(이하 정보보안 평가)’ 결과를 최초로 공개했다. 정보보안 평가는 대상기관이 평가지표를 참조해 자체평가를 실시한 후 결과를 제출하면, 국정원이 평가반을 구성해 현장실사와 자체평가 적절성을 검증하고 이의신청을 거친 후 최종 평가를 도출한다. 최종 평가는 소관 분야 정부 업무평가에 반영하고 있다. 국정원은 정보보안 평가가 단순한 ‘평가’가 아닌 피드백을 통한 개선의 목적으로 사용되길 바랬지만, 일부 기관의 낮은 관심도와 개선의지 미약을 이유로 전면 공개에 나섰다고 밝혔다.
올해 공공기관 평가점수는 100점 만점 중 평균 75.47점으로 전년 대비 3.6점 상승했고, 각 기관이 평가지표를 얼마나 달성했는지를 나타내는 평가지표 달성률도 79%로 3% 상승하는 등 공공기관의 전반적인 보안수준은 개선된 것으로 나타났다. 특히, 국정원은 정보보안 전담조직과 인력·예산확보 등 관리적인 보안수준이 상승했으며, 이러한 결과가 보안 수준 향상의 주요 원인으로 분석된다고 밝혔다.
또한, 올해 평가에서는 2022년 10월 카카오 마비 사태 등을 계기로 사이버 위기 발생시 대응방안 마련 여부 등을 집중 점검했는데, 위기 상황에 대비한 매뉴얼 정비, 위기대응 훈련 실시 부분은 달성률이 85%를 넘는 등 양호한 것으로 확인됐다. 업무 연속성 확보를 위한 복구 우선순위 수립 및 백업·복구훈련 실시 여부 집중 점검에서도 일부 미비점이 발견되기는 했지만, 이 역시 달성률이 84%를 넘는 등 양호한 것으로 평가됐다.
윈도우7과 윈도우 서버 2008 등 지원 종료된 운영체제 사용하는 공공기관들
하지만 기술적 보안에서는 여전히 절반 가까운 공공기관에서 서버·네트워크·보안장비 등 정보시스템에 대한 비인가자 접근통제가 미흡한 것으로 나타났다. 또한, 용역업체 직원에 대한 시스템 접근권한을 차등부여하지 않는 등 용역업체 보안관리도 지난해보다 미흡한 것으로 확인됐다.
심지어 이미 보안지원 등이 중단된 ‘윈도우7’과 ‘윈도우 서버 2008’ 등의 운영체제를 사용하거나 시스템 보안패치 미적용, 보안설정 미흡 등의 문제도 확인됐다.
이와 관련 국정원은 시스템 접근통제 등 평가점수가 저조한 분야에 대해 교육과 현장 컨설팅 등을 강화해 보안수준을 높이도록 유도할 계획이다.
한편, 이번 정보보안 평가는 공기업·준정부·중소형 기관 등 3개 기관 유형별로 우수·보통·미흡의 3개 등급으로 구분돼 결과가 발표됐다.
‘공기업’ 분야에서 ‘우수’ 등급은 △한국남동발전 등 7개 기관, ‘보통’ 등급은 △강원랜드 등 22개 기관, ‘미흡’ 등급은 △그랜드코리아레저 등 7개 기관이다.
‘준정부기관’ 분야에서 ‘우수’ 등급은 △한국교통안전공단 등 11개 기관, ‘보통’ 등급은 △공무원연금공단 등 35개 기관, ‘미흡’ 등급은 △국립생태원 등 11개 기관이다.
‘중소형기관’ 분야에서 ‘우수’ 등급은 △국토교통과학기술진흥원 등 7개 기관, ‘보통’ 등급은 △연구개발특구진흥재단 등 23개 기관, ‘미흡’ 등급은 △국제방송교류재단 등 7개 기관이다.
ICT/정보보호 분야 공공기관 가운데서는 한국인터넷진흥원과 한국교육학술정보원, 한국재정정보원이 ‘우수’ 등급을, 한국지능정보사회연구원과 한국정보통신산업진흥원이 ‘미흡’ 등급을 받아 극명한 대조를 나타냈다.
▲공공기관 정보보안 관리실태 평가결과[자료=국가정보원]
국정원은 올해 하반기에는 8~10월간 중앙행정기관·광역지자체를 대상으로 하는 관리실태 평가가 계획되어 있는데, 랜섬웨어 해킹사고 예방, 재난 대비대응 역량. 민간 클라우드 이용 보안대책 등을 집중 평가할 예정이다. 또한, 내년에는 공기업·준정부기관 이외의 공공기관 등을 대상으로 정보보안 관리실태 평가 범위를 확대할 계획이며, 이를 통해 공공기관 보안수준을 제고하고 보안 사각지대 발생을 사전에 예방하도록 하겠다고 강조했다.
[원병철 기자(boanone@boannews.com)]
관리적 보안 수준은 향상했지만 기술적 보안 수준은 아직 미흡
ICT/정보보호 분야 공공기관 중에는 KISA 등이 우수, NIA 등이 미흡으로 드러나
[보안뉴스 원병철 기자] 국가·공공기관의 정보보안 관리실태가 지난해보다는 나아졌지만, 아직도 정보시스템에 대한 접근통제가 미흡하고, 지원이 종료된 운영체제를 사용하는 등 취약한 곳이 있는 것으로 확인됐다.
[이미지=gettyimagesbank]
국가정보원은 2007년부터 시행하고 있는 ‘정보보안 관리실태 평가(이하 정보보안 평가)’ 결과를 최초로 공개했다. 정보보안 평가는 대상기관이 평가지표를 참조해 자체평가를 실시한 후 결과를 제출하면, 국정원이 평가반을 구성해 현장실사와 자체평가 적절성을 검증하고 이의신청을 거친 후 최종 평가를 도출한다. 최종 평가는 소관 분야 정부 업무평가에 반영하고 있다. 국정원은 정보보안 평가가 단순한 ‘평가’가 아닌 피드백을 통한 개선의 목적으로 사용되길 바랬지만, 일부 기관의 낮은 관심도와 개선의지 미약을 이유로 전면 공개에 나섰다고 밝혔다.
올해 공공기관 평가점수는 100점 만점 중 평균 75.47점으로 전년 대비 3.6점 상승했고, 각 기관이 평가지표를 얼마나 달성했는지를 나타내는 평가지표 달성률도 79%로 3% 상승하는 등 공공기관의 전반적인 보안수준은 개선된 것으로 나타났다. 특히, 국정원은 정보보안 전담조직과 인력·예산확보 등 관리적인 보안수준이 상승했으며, 이러한 결과가 보안 수준 향상의 주요 원인으로 분석된다고 밝혔다.
또한, 올해 평가에서는 2022년 10월 카카오 마비 사태 등을 계기로 사이버 위기 발생시 대응방안 마련 여부 등을 집중 점검했는데, 위기 상황에 대비한 매뉴얼 정비, 위기대응 훈련 실시 부분은 달성률이 85%를 넘는 등 양호한 것으로 확인됐다. 업무 연속성 확보를 위한 복구 우선순위 수립 및 백업·복구훈련 실시 여부 집중 점검에서도 일부 미비점이 발견되기는 했지만, 이 역시 달성률이 84%를 넘는 등 양호한 것으로 평가됐다.
윈도우7과 윈도우 서버 2008 등 지원 종료된 운영체제 사용하는 공공기관들
하지만 기술적 보안에서는 여전히 절반 가까운 공공기관에서 서버·네트워크·보안장비 등 정보시스템에 대한 비인가자 접근통제가 미흡한 것으로 나타났다. 또한, 용역업체 직원에 대한 시스템 접근권한을 차등부여하지 않는 등 용역업체 보안관리도 지난해보다 미흡한 것으로 확인됐다.
심지어 이미 보안지원 등이 중단된 ‘윈도우7’과 ‘윈도우 서버 2008’ 등의 운영체제를 사용하거나 시스템 보안패치 미적용, 보안설정 미흡 등의 문제도 확인됐다.
이와 관련 국정원은 시스템 접근통제 등 평가점수가 저조한 분야에 대해 교육과 현장 컨설팅 등을 강화해 보안수준을 높이도록 유도할 계획이다.
한편, 이번 정보보안 평가는 공기업·준정부·중소형 기관 등 3개 기관 유형별로 우수·보통·미흡의 3개 등급으로 구분돼 결과가 발표됐다.
‘공기업’ 분야에서 ‘우수’ 등급은 △한국남동발전 등 7개 기관, ‘보통’ 등급은 △강원랜드 등 22개 기관, ‘미흡’ 등급은 △그랜드코리아레저 등 7개 기관이다.
‘준정부기관’ 분야에서 ‘우수’ 등급은 △한국교통안전공단 등 11개 기관, ‘보통’ 등급은 △공무원연금공단 등 35개 기관, ‘미흡’ 등급은 △국립생태원 등 11개 기관이다.
‘중소형기관’ 분야에서 ‘우수’ 등급은 △국토교통과학기술진흥원 등 7개 기관, ‘보통’ 등급은 △연구개발특구진흥재단 등 23개 기관, ‘미흡’ 등급은 △국제방송교류재단 등 7개 기관이다.
ICT/정보보호 분야 공공기관 가운데서는 한국인터넷진흥원과 한국교육학술정보원, 한국재정정보원이 ‘우수’ 등급을, 한국지능정보사회연구원과 한국정보통신산업진흥원이 ‘미흡’ 등급을 받아 극명한 대조를 나타냈다.
▲공공기관 정보보안 관리실태 평가결과[자료=국가정보원]
국정원은 올해 하반기에는 8~10월간 중앙행정기관·광역지자체를 대상으로 하는 관리실태 평가가 계획되어 있는데, 랜섬웨어 해킹사고 예방, 재난 대비대응 역량. 민간 클라우드 이용 보안대책 등을 집중 평가할 예정이다. 또한, 내년에는 공기업·준정부기관 이외의 공공기관 등을 대상으로 정보보안 관리실태 평가 범위를 확대할 계획이며, 이를 통해 공공기관 보안수준을 제고하고 보안 사각지대 발생을 사전에 예방하도록 하겠다고 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
