과학기술정보방송통신
[변재일의원 보도자료] 변재일 의원, 과기정통부 산하 ICT기관 정보보안 관리실태 ‘낙제점’
변재일 의원, 과기정통부 산하 ICT기관 정보보안 관리실태 ‘낙제점’
2023년 국정원‘정보보안 관리실태 평가’결과 NIPA(56.98점), NIA(61.29점), KCA(72.05)점으로 130개 기관 전체평균 75.47점에도 못 미쳐
|
변재일 의원(청주시청원구, 더불어민주당)은 과학기술정보통신부 산하 ICT기관(정보통신산업진흥원(NIPA), 한국지능정보사회진흥원(NIA), 방송통신전파진흥원(KCA)) 3곳이 올해 국가정보원이 실시한 ‘공공기관 정보보안’ 평가에서 130개 공공기관 평균 점수(75.47)보다 낮은 점수를 받았다며, 정보보안 관리에 보다 경각심을 가져야 한다고 지적했다.
변 의원이 과기정통부 ICT기관 5곳으로부터 각각 제출받은 자료에 따르면, 정보통신산업진흥원(56.98점), 한국지능정보사회진흥원(61.29점), 방송통신전파진흥원(72.05점)이 130개 공공기관의 평균에도 못 미치는 점수를 받은 것으로 확인됐다. 데이터의 유통·활용 및 인력양성을 담당하는 데이터전문기관인 한국데이터산업진흥원(K-data)은 기타공공기관으로 평가대상에 포함되지 않았다.
특히, 정보통신산업진흥원(NIPA)와 한국지능정보사회진흥원(NIA)는 2년 연속으로 평균 이하의 점수를 받았고, 심지어 올해는 최하위 평가 등급인‘미흡’ 등급을 받았다.
기관별 주요 지적사항은 ‘정보보안 업무 전담인력 미확보’, ‘망분리 보안정책 미흡’ 등 내부 관리 문제가 공통적으로 지적되었다.
<국정원 관리실태 평가결과>
구분(평균) | 2021(비공개) | 2022(71.87) | 2023(75.47) | |
정보통신산업진흥원(NIPA) | 57.92 | 55.47 | 56.98 | 미흡 |
한국지능정보사회진흥원(NIA) | 57.22 | 58.28 | 61.29 | 미흡 |
방송통신전파진흥원(KCA) | 63.22 | 73.93 | 72.05 | 보통 |
한국인터넷진흥원(KISA) | 83.90 | 85.25 | 84.44 | 우수 |
한국데이터산업진흥원 | 평가 비대상(기타공공기관) | |||
*출처: ICT기관 5곳
<기관별 주요 지적사항>
기관명 | 지적사항 |
정보통신산업진흥원(NIPA) | 정보보안 업무 전담조직 및 인원 미확보 |
기관 정보보안 예산 비율 저조 | |
악성코드 감염예방을 위한 보안대책 미흡 | |
자체 사이버위기대응 훈련 실효성 부족 | |
대량메일 발송시스템 2차인증 미적용 | |
한국지능정보사회진흥원(NIA) | 정보보안 전담조직 수립미흡 및 전담인력 인센티브 미지급 |
망분리 미실시 | |
정보화용역사업 보안성검토 및 사업보안관리 미흡 | |
원격근무시 VPN 2차인증 미흡 | |
정보시스템 접근통제 및 단말기 보안 미흡 | |
방송통신전파진흥원(KCA) | 별도의 정보보안 전담조직 미구성 |
보안강화를 위해 내부망과 인터넷망 분리 필요 | |
인터넷 전화의 제어신호 및 통화내용 대상 암호화 미조치 | |
용역사업 장비 반출입대장 작성자료 관리 일부 미흡 | |
용역사업자 보안점검 시 위규자에 대한 사유서 징구 미흡 | |
한국인터넷진흥원(KISA) | IT업무 담당 인원대비 정보보안 전담인원 2% 부족 |
도입된 정보시스템 대상 현황 관리 미흡 | |
침입 차단시스템 관련 보안적합성 검증 운용점검사항 양식 일부 미준수 | |
정보보호시스템 관리PC에서 관리하지 않는 복합기 관리서버에 접근가능 | |
기관 실정에 맞는 교육교안 제작 미충족 | |
한국데이터산업진흥원 | 평가 비대상(기타공공기관) |
*출처: ICT기관 제출자료 의원실 재편집
국정원은 ‘국가정보원법’에 따라 사이버 위협으로부터 국가와 국민을 보호하기 위한 예방 활동의 일환으로 ‘공공기관 정보보안 관리실태 평가’를 시행해왔다.
국가정보원법 제4조(직무) 4. 다음 각 목의 기관 대상 사이버공격 및 위협에 대한 예방 및 대응 가. 중앙행정기관(대통령 소속기관과 국무총리 소속기관을 포함한다) 및 그 소속기관과 국가인권위원회, 고위공직자범죄수사처 및 「행정기관 소속 위원회의 설치ㆍ운영에 관한 법률」에 따른 위원회 나. 지방자치단체와 그 소속기관 다. 그 밖에 대통령령으로 정하는 공공기관 |
2023년 올해는 130개 기관(공기업 36곳, 준정부 기관 57곳, 중소형 기관 37곳)을 대상으로 정보보안 전담조직, 보안 인력 확보 등의 항목을 평가해 ‘우수’, ‘보통’, ‘미흡’등급으로 평가결과를 발표했다.
특히, 올해는 정보보안 평가결과를 대하는 일부 기관의 낮은 관심도와 개선의지 미흡을 이유로 처음 평가결과를 공개했다.
변 의원은 “과기정통부 산하 ICT기관이 사이버위협에 대한 예방 및 대응 실태를 파악하는 정보보안 실태점검에서 2년 연속 평균 미달 낙제점을 받은 것은 심각한 문제”라고 지적했다.
또한, 변 의원은 “특히나 인공지능, AI반도체 등 국가 미래 핵심산업의 진흥을 담당하는 정보통신산업진흥원(NIPA)과 윤석열 정부의 ICT 핵심 공약 중 하나인‘디지털플랫폼정부’구축을 주관하고 있는 한국지능정보사회진흥원(NIA) 등 ICT전문기관들은 적어도 사이버위협으로부터 안전한 정보보안 준비태세를 갖출 수 있도록 각별한 주의가 필요하다.”고 강조했다.
;){kind=link}