국회 안전행정위원회 소속 더불어민주당 이재정 의원(비례대표)은 행정자치부가 제출한 ‘주요정보통신기반시설 지정 현황’ 및 ‘2016년도 주요정보통신기반시설 현장점검 일정’ 자료를 분석한 결과, “국가 주요정보통신기반시설에 대한 보안 현장점검이 사실상 짜고 치는 식의 요식행위로 전락해, 취약점 은닉을 방조하며 정보통신기반시설 전반의 보안성을 악화시키고 있다”고 밝혔다.
정부는 정보통신기반보호법에 따라 지난 2001년부터 국가·사회적으로 중요한 정보통신·행정·금융·교통수송·에너지·보건의료 분야의 핵심 정보시설들을 ‘주요정보통신기반시설’로 지정해 관리하고 있다.
2015년 10월 기준 기반시설은 총 354개에 달하며, 이 중 3분의 1에 해당하는 98개가 행자부 소관이다.
민원24·주민등록시스템·국가정보서비스망·각 시도 정보망·긴급구조시스템 등 정부 및 지자체의 정보통신망 대부분이 행자부 소관 기반시설로 지정돼 있다.
이처럼 행자부 소관 기반시설은 전 국민 대상 민원 서비스를 제공할 뿐만 아니라, 중대 사고 및 재난 발생 시 생명과 안전에도 직결될 수 있기에 체계적이고 안정적인 관리가 중요하다.
행자부는 ‘주요정보통신기반시설보호대책’을 수립해 보안 시스템에 대한 총체적인 관리책임이 있지만, 실제 현장점검 실시계획 및 점검기준의 수립, 보호대책의 이행 여부 확인 등은 정보통신기반보호법과 대통령령에 따라 국정원이 독점하고 있다.
국정원은 매년 기반시설에 대한 현장점검 실시계획을 행자부 등 관리기관에 통보하고, 행자부는 소관 기반시설에 이를 전파하는 방식을 차용하고 있는데 문제는 해당 실시계획에 각 기반시설 별 점검 일정이 월 단위로 명시돼 있다는 것이다.
이에 각 기반시설은 현장점검 시기를 미리 파악해 준비할 뿐만 아니라, 준비해야 할 내용마저 상시적인 정보보안 업무를 위해 100개 항목의 체크리스트로 사전 공개되어 있는 것으로 나타났다. 사실상 시험기간과 시험문제를 모두 아는 상황에서 시험을 치르는 것이다.
또한 국정원은 현장점검 결과를 대외비로 지정해 해당기관에 대한 통보 외에는 결과를 공개하지 않는다. 점검 실태 정보를 사실상 독점하고 있어, 행정자치부는 기반시설들의 보안 취약점 분석과 대응에 있어 제한적인 대처로 일관할 수 밖에 없는 상황이다.
더불어민주당 이재정 의원은 “지금과 같은 현장점검은 시험기간도, 시험문제도 알고 치르는 요식행위에 불과해 정보통신기반시설의 보안 취약점을 은닉하고 보안 체계를 악화시키는 수단으로 전락하고 있다”고 지적했다.
또한 이 의원은 “특히 행자부 소관 정보통신기반시설은 국민생활과 매우 밀접해 최고의 안정성과 보안성이 담보돼야 하지만 지진 당시 국민안전처 홈페이지다운 · 인사혁신처 5급 공채 결과유출 · 아이핀 대량 부정발급 사례에서 확인할 수 있듯이 다양한 취약점을 드러내고 있다”며 “이는 국정원이 주도하는 형식적 현장점검에서 기인한 것으로 국정원 중심 점검 구조를 개혁하고 실질적 보안 강화를 위해 암행점검 방식의 현장점검을 도입해야 한다”고 강조했다.
