연구재단 해킹 후폭풍…공공기관 보안법 손질 목소리

국회입법조사처는 최근 한국연구재단 해킹 사태를 계기로 공공기관에도 정보보호 인증과 공시를 의무화하고, 사이버보안 점검의 법적 근거를 상위법으로 격상하는 등의 제도 개선이 시급하다고 제안했다. ⓒ챗GPT

한국연구재단 해킹 사태는 단순한 보안 사고를 넘어, 공공기관 정보보호 체계의 구조적 취약성과 법제도의 허점을 드러냈다는 평가다. 사전 차단이 가능한 수준의 취약점이 장기간 방치됐고, 유출 사실을 인지하고도 통지를 늦추는 등 대응 체계 전반의 신뢰가 무너졌다는 점에서다.

국회입법조사처는 이번 사태를 계기로 공공기관에도 정보보호 인증과 공시를 의무화하고, 사이버보안 점검의 법적 근거를 상위법으로 격상하는 등의 제도 개선이 시급하다고 제안했다.

22일 국회입법조사처가 발간한 ‘한국연구재단 해킹 사건을 계기로 본 공공기관 정보보호 강화방안’에 따르면, 지난 6월 한국연구재단 논문투고시스템(JAMS)이 해킹돼 약 12만 명 연구자 개인정보가 유출됐다. 특히 이번 해킹은 국가 연구개발(R&D) 지원 핵심 공공기관인 연구재단이 단순 공격에 무방비로 노출됐다는 점에서, 연구 생태계 신뢰를 흔들 수 있는 중대한 사안이라고 봤다.

해킹은 6월 6일 새벽에 이뤄졌지만, 재단은 같은 달 7일 개인정보 유출은 없었다고 공지했다. 이후 9일 과학기술정보통신부 소관 사이버안전센터 정밀조사에서 개인정보 유출이 확인됐다.

결국 재단은 3일이 지난 6월 12일에서야 사과문을 통해 기존 공지 내용을 정정한 후 개인정보보호위원회에 유출 사실을 신고했다.

재단 JAMS 이용자 약 79만 명 중 12만 2954명 개인정보가 유출됐고, 회원가입 시 입력정보 일체가 유출되면서 116명은 주민등록번호까지 함께 유출됐다. 또 피해자 중 1559명의 명의로 특정 학회에 무단 가입된 사실도 확인됐다. 명의 도용이라는 2차 피해가 현실화된 셈이다.

보고서는 재단이 JAMS 보안 취약점을 장기간 방치한 채 운영했다고 지적했다. 2008년 최초 개통된 이후 일부 기능 보완은 이뤄졌으나, 보안 구조 전반 고도화나 재설계는 진행되지 않았다는 점을 꼬집었다.

정보보호 공시 의무에서도 공공기관이 제도적 사각지대에 놓여 있다고 봤다. 현행 정보보호산업의 진흥에 관한 법률은 정보보호 투자와 인력, 인증 현황 등을 공개하는 공시 의무를 민간에만 적용하고 있다.

공공기관은 국가정보원의 사이버보안 실태평가나 공공기관의 운영에 관한 법률에 따른 경영 공시·평가로 대체되고 있으나, 이는 결과 공개가 제한적이고 경영 중심에 치우쳐 실질적인 정보보호 수준을 외부에서 파악하기 어렵다는 한계가 있다.

이에 보고서는 정보보호 공시와 ISMS 인증 의무 대상을 공공기관까지 확대하고, 그 우선 적용 대상으로 국가 연구개발(R&D) 등 고위험 정보를 다루는 기관을 지정해 단계적으로 적용해 나가야 한다고 제언했다.

이를 통해 공공기관 스스로 보안 위험을 진단하고, 외부 감시와 비교 가능성을 확보해 실질적인 보안 수준 향상을 유도할 수 있다는 설명이다.

사이버보안 진단·점검의 실효성도 높이기 위해, 현재 대통령령에 근거한 자체 점검 의무를 전자정부법 등 상위 법률로 격상하고, 일정 기한 내 시정조치를 의무화하며, 미이행 시 과태료 등 제재 수단을 도입할 필요가 있다고 강조했다. 단순 권고가 아닌 강행 규정으로 전환해 법적 구속력을 높이고, 실제 이행을 강제하는 구조로 개편해야 한다는 것이다.

또 개인정보 유출 통지 기준도 보완할 필요가 있다고 설명했다. 현행 ‘72시간 이내 통지’ 규정이 실무 현장에서 지연 통지의 근거로 오용되는 경우가 있다는 점을 지적하며, 주민등록번호나 금융정보 등 고위험 정보가 유출된 경우에는 ‘인지 즉시 통지’를 예외적으로 의무화하는 방향으로 개인정보 보호법 시행령을 개정해야 한다고 제안했다.

국회입법조사처 측은 보고서를 통해 “이번 해킹 사고는 단일 기관의 보안 실패를 넘어, 공공부문 전반의 정보보호 체계가 얼마나 허술한지 보여주는 경고”라며 “보안 투자에 대한 인식 전환과 함께, 법·제도적 기반을 정비해 신뢰할 수 있는 공공 정보시스템 환경을 구축해 나가야 한다”고 말했다.