지차체의 주요정보통신기반시설 취약점 분석·평가 결과 등 공개
비공개 문서에 해당...정보공개법 및 정보통신기반 보호법 위반 소지
담당자들의 보안의식 제고 및 정보공개 프로세스 개선 필요
[보안뉴스 권 준] 우리 정부의 주요 아젠다 가운데 하나인 ‘정부 3.0’. 그 가운데서도 핵심인 정보공개제도가 담당 공무원들의 보안의식 및 전문성 부재와 관리 프로세스 미흡으로 인해 보안이슈로 부상하고 있다. 국가의 중대한 이익을 해칠 우려가 있는 비공개 대상 정보가 정보공개포털(www.open.go.kr)에 버젓이 올라가 누구나 다운로드 받을 수 있도록 한 것이다.
▲ 정보공개포털에서 누구나 다운로드를 받을 수 있었던 비공개 문서들. 9일 현재는 비공개 문서로 전환되어 있다.
정부3.0은 공공정보를 개방하고 부처 간 칸막이를 없애 국민의 삶을 편하게 하고 일자리 창출에 도움이 되도록 하는 ‘국민 중심의 정부혁신’을 의미하는 것으로, 정보공개법과 정부의 3.0 정책에 따라 공공정보의 공개범위는 계속 확대되고 있는 추세다.
이러한 좋은 취지에도 불구하고, 보안이 요구되는 주요정보통신기반시설의 취약점 조치사항이나 도입된 네트워크 및 보안 솔루션 종류 등이 국민 모두가 볼 수 있도록 공개돼 있어 사이버범죄자들이나 해커조직에 악용될 우려가 높아지고 있다.
제보를 받고 본지가 확인한 바에 따르면 정보공개포털에 올라간 비공개 대상 정보는 지방자치단체 2곳의 3개 문서다. 한 지자체 교통정책과에서 지난 7월과 2015년 10월에 게시한 ‘2015년/2016년 주요정보통신기반시설 취약점 분석·평가 및 조치결과 보고’ 문서 2건과 또 다른 지자체의 종합방재센터에서 2015년 10월에 업로드한 ‘주요정보통신기반시설 취약점 분석 결과 요약 및 조치계획 보고’라는 제목의 문서다. 이 외에도 정보공개포털을 검색하다보니 비공개가 바람직하다고 판단되는 공개 정보 또한 여럿 눈에 띠었다.
특히, 앞서 언급한 3개 문서의 경우 ‘공공기관의 정보공개에 관한 법률(이하 정보공개법)’ 제9조(비공개정보)에 해당된다는 것이 제보자와 보안전문가들의 견해다. 해당 문서에 언급되는 교통제어 시설의 경우 정보공개법 제9조 제1항 제2호에 적시된 ‘국가안전보장·국방·통일·외교관계 등에 관한 사항으로서 공개될 경우 국가의 중대한 이익을 현저히 해칠 우려가 있다고 인정되는 정보’에 해당될 수 있다는 얘기다.
이 뿐만 아니다. ‘정보통신기반 보호법’ 시행령 제18조(취약점 분석·평가방법 및 절차) 제2항에 따르면 소관 주요정보통신기반시설의 취약점을 분석·평가하게 하는 때에는 취약점 분석·평가 수행기관이 취득한 관리기관의 비밀정보가 외부에 유출되지 아니하도록 적정한 조치를 취해야 한다고 규정되어 있다. 해당 정보는 취약점 분석·평가 및 조치결과를 보고하는 문서로, 외부에 유출되지 않도록 조치를 취해야 할 정보임에도 정보공개포털에 버젓이 공개돼 있다는 점이다. 이 경우 법률 위반사항이 될 소지가 높다.
이를 본지에 제보한 보안전문가는 “정보공개에 대한 판단을 공문을 기안한 본인이 결정하고 있어 정보보안에 대한 지식이 없는 담당자의 실수가 발생하고 있다”며, “기관에서 홈페이지의 개인정보 노출만 검색할 것이 아니라 비공개 자료가 원문정보 공개 홈페이지 등에 공개되거나 외부에 노출되어 있지 않은지도 검색해야 한다”고 강조했다.
이러한 문제를 최소화하기 위해서는 정부기관, 지자체, 공공기관에서 정보공개 여부를 결정하는 관리 프로세스를 개선하고, 비공개 정보 또는 대외비 문서가 외부에 노출되어 있지 않은지 정기적으로 검색·점검하는 작업이 이루어져야 한다. 이와 함께 차제에 개인정보는 물론 비공개 자료에 대한 필터링이 이루어질 수 있게 정보공개포털 홈페이지의 개선작업도 필요하다는 지적이다.
한편, 본지는 비공개 문서를 게시한 지자체 담당자들에게 연락해서 해당 문서를 내려줄 것을 요청했고, 지자체 홈페이지에 이어 정보공개포털에도 비공개로 전환되는 조치가 취해졌다. 담당자들은 “비공개 문서가 실수로 올라간 것 같다”며, “문서 공개 여부 결정에 있어 좀더 만전을 기하겠다”고 말했다.
[권 준 기자(editor@boannews.com)]
비공개 문서에 해당...정보공개법 및 정보통신기반 보호법 위반 소지
담당자들의 보안의식 제고 및 정보공개 프로세스 개선 필요
[보안뉴스 권 준] 우리 정부의 주요 아젠다 가운데 하나인 ‘정부 3.0’. 그 가운데서도 핵심인 정보공개제도가 담당 공무원들의 보안의식 및 전문성 부재와 관리 프로세스 미흡으로 인해 보안이슈로 부상하고 있다. 국가의 중대한 이익을 해칠 우려가 있는 비공개 대상 정보가 정보공개포털(www.open.go.kr)에 버젓이 올라가 누구나 다운로드 받을 수 있도록 한 것이다.
▲ 정보공개포털에서 누구나 다운로드를 받을 수 있었던 비공개 문서들. 9일 현재는 비공개 문서로 전환되어 있다.
정부3.0은 공공정보를 개방하고 부처 간 칸막이를 없애 국민의 삶을 편하게 하고 일자리 창출에 도움이 되도록 하는 ‘국민 중심의 정부혁신’을 의미하는 것으로, 정보공개법과 정부의 3.0 정책에 따라 공공정보의 공개범위는 계속 확대되고 있는 추세다.
이러한 좋은 취지에도 불구하고, 보안이 요구되는 주요정보통신기반시설의 취약점 조치사항이나 도입된 네트워크 및 보안 솔루션 종류 등이 국민 모두가 볼 수 있도록 공개돼 있어 사이버범죄자들이나 해커조직에 악용될 우려가 높아지고 있다.
제보를 받고 본지가 확인한 바에 따르면 정보공개포털에 올라간 비공개 대상 정보는 지방자치단체 2곳의 3개 문서다. 한 지자체 교통정책과에서 지난 7월과 2015년 10월에 게시한 ‘2015년/2016년 주요정보통신기반시설 취약점 분석·평가 및 조치결과 보고’ 문서 2건과 또 다른 지자체의 종합방재센터에서 2015년 10월에 업로드한 ‘주요정보통신기반시설 취약점 분석 결과 요약 및 조치계획 보고’라는 제목의 문서다. 이 외에도 정보공개포털을 검색하다보니 비공개가 바람직하다고 판단되는 공개 정보 또한 여럿 눈에 띠었다.
특히, 앞서 언급한 3개 문서의 경우 ‘공공기관의 정보공개에 관한 법률(이하 정보공개법)’ 제9조(비공개정보)에 해당된다는 것이 제보자와 보안전문가들의 견해다. 해당 문서에 언급되는 교통제어 시설의 경우 정보공개법 제9조 제1항 제2호에 적시된 ‘국가안전보장·국방·통일·외교관계 등에 관한 사항으로서 공개될 경우 국가의 중대한 이익을 현저히 해칠 우려가 있다고 인정되는 정보’에 해당될 수 있다는 얘기다.
이 뿐만 아니다. ‘정보통신기반 보호법’ 시행령 제18조(취약점 분석·평가방법 및 절차) 제2항에 따르면 소관 주요정보통신기반시설의 취약점을 분석·평가하게 하는 때에는 취약점 분석·평가 수행기관이 취득한 관리기관의 비밀정보가 외부에 유출되지 아니하도록 적정한 조치를 취해야 한다고 규정되어 있다. 해당 정보는 취약점 분석·평가 및 조치결과를 보고하는 문서로, 외부에 유출되지 않도록 조치를 취해야 할 정보임에도 정보공개포털에 버젓이 공개돼 있다는 점이다. 이 경우 법률 위반사항이 될 소지가 높다.
이를 본지에 제보한 보안전문가는 “정보공개에 대한 판단을 공문을 기안한 본인이 결정하고 있어 정보보안에 대한 지식이 없는 담당자의 실수가 발생하고 있다”며, “기관에서 홈페이지의 개인정보 노출만 검색할 것이 아니라 비공개 자료가 원문정보 공개 홈페이지 등에 공개되거나 외부에 노출되어 있지 않은지도 검색해야 한다”고 강조했다.
이러한 문제를 최소화하기 위해서는 정부기관, 지자체, 공공기관에서 정보공개 여부를 결정하는 관리 프로세스를 개선하고, 비공개 정보 또는 대외비 문서가 외부에 노출되어 있지 않은지 정기적으로 검색·점검하는 작업이 이루어져야 한다. 이와 함께 차제에 개인정보는 물론 비공개 자료에 대한 필터링이 이루어질 수 있게 정보공개포털 홈페이지의 개선작업도 필요하다는 지적이다.
한편, 본지는 비공개 문서를 게시한 지자체 담당자들에게 연락해서 해당 문서를 내려줄 것을 요청했고, 지자체 홈페이지에 이어 정보공개포털에도 비공개로 전환되는 조치가 취해졌다. 담당자들은 “비공개 문서가 실수로 올라간 것 같다”며, “문서 공개 여부 결정에 있어 좀더 만전을 기하겠다”고 말했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
