미래창조과학부가 정보통신산업진흥원(NIPA)에 9월 초까지 자체 보안을 강화할 것을 주문했다. 2016년 공공기관 보안감사 결과 소프트웨어(SW) 보안패치, USB 관리 등에 보안 허점이 드러났기 때문이다.

19일 정부 관계자들에 따르면, 미래부는 이달 초 NIPA에 ‘2016 정보통신산업진흥원 보안 지도 및 감사 결과’를 통보하고 9월 초까지 보안 지적사항에 대한 시정, 조치결과를 제출하도록 요구했다.

NIPA 보안감사 결과 문건에 따르면, NIPA는 199개 평가항목 점검 결과 88.6점(100점 만점)으로 양호한 평가를 받았다. 하지만 19개 항목이 부분이행, 8개 항목이 미이행으로 조사됐다. 미래부는 부분이행, 미이행 조치들을 분석해 NIPA에 13개 사항에 대해 시정을 요청하고 1개 사항에 대해 권고 조치했다.

NIPA는 우선 SW 보안패치 문제를 지적받았다. SW 보안패치는 해커, 악성코드 등의 취약점 공격을 막기 위해 꼭 필요한 보안조치 중 하나다. 미래부는 NIPA가 정보보호를 위해 전 직원 공지와 수동 점검 등 노력을 하고 있지만 플래시, 인터넷익스플로러(IE), 자바(JAVA) 등 일부 프로그램에는 최신 보안 패치가 적용되고 있지 않다고 지적했다.

또 미래부는 USB 보안 관리를 철저히 할 것도 요구했다. 미래부에 따르면 NIPA는 대전 외주 용역업체 직원 및 신규 도입 PC 등에 매체 제어 시스템을 적용해 USB 보안을 하고 있다. 그러나 과거 도입된 PC 등에서는 USB 보안이 미흡한 것으로 나타났다.

또 최근 3년 간 추진한 35건(부설기관 및 타기관 이관 14건 포함)의 정보화 사업에 대해 보안성 검토를 하지 않은 것도 지적됐다.

한편 미래부는 보안강화를 위해 NIPA에 업무망과 인터넷망을 분리할 것을 권고했다. 미래부, 국가정보원 등 유관기관과 협의해 망분리 검토하라는 것이다. 또 미래부는 망분리를 하지 않은 상태에서는 악성코드 감염 등에 대응하기 위해 지능형지속공격(APT) 대응 솔루션 도입도 검토해야 한다고 설명했다.

이에 대해 NIPA 관계자는 “직원들이 SW 보안패치를 내PC지킴이(정부 보안 프로그램) 등으로 하고 있었는데 전체적으로 시스템을 이용해 패치를 하도록 지적받았다. 또 USB의 경우 예전에 도입한 PC에 보안 시스템을 갖출 것을 요구받았다”며 “보안감사에서 지적받은 사안에 대한 조치를 진행하고 있으며 9월 초까지 보안 시스템을 새로 도입하는 등 시정조치를 대부분 마무리할 것”이라고 말했다.

[테크M = 강진규 기자(viper@techm.kr)]