정부업무망 3년간 뚫렸는데…정보보호 인프라 예산 되레 줄었다

정부 업무시스템인 온나라시스템과 공무원 인증에 활용되는 행정전자서명(GPKI)이 해킹된 사실이 뒤늦게 확인되면서, 정부 행정망까지 사이버 공격에 무방비로 노출됐다는 우려가 커지고 있다. 하지만 정작 행정안전부의 정보보호 인프라 관련 예산은 되레 줄어든 것으로 나타났다.

19일 행안부에 따르면 올해 정보보호 인프라 확충 사업 예산은 199억3300만원으로, 지난해(361억1140만원) 대비 약 161억원(44.8%) 감소했다.

정보보호 인프라 확충 사업은 해킹 등 사이버 공격으로부터 전자정부 시스템을 보호하기 위해 보안 기반을 강화하는 사업으로, 사이버 공격 탐지·대응, GPKI 등 인증체계 운영·개선, 모바일 신분증 등 비대면서비스 기반 구축 등이 포함돼있다.

사업별로 보면 ‘모바일 신분증 플랫폼 구축·운영’ 사업 예산이 지난해 205억3300만원에서 올해 73억4800만원으로 64.2% 감소했다. 이는 모바일 신분증 관련 주요 시스템 구축이 마무리되면서, 올해부터 초기 구축 비용이 제외된 영향이 크다.

행안부 관계자는 “정보보호 인프라 확충 관련 예산 감액의 상당 부분은 모바일 신분증 구축 비용이 빠지면서 발생한 것”이라고 설명했다.

하지만 모바일 신분증을 제외한 나머지 주요 정보보호 사업들도 예산이 줄거나 소폭 늘어난 수준에 그쳤다. 정보시스템 사업을 추진할 때 소프트웨어의 보안 취약점을 진단해 개선하도록 지원하는 ‘정보시스템 소프트웨어 보안체계 강화’ 사업은 9억400만원에서 6억3100만원으로, 전년 대비 30.2% 줄었다.

전국 지방자치단체의 주요 시스템을 24시간 365일 모니터링해 각종 사이버 공격을 차단하도록 지원하는 ‘사이버 침해 대응 지원센터’ 운영 관련 예산도 전년 대비 2500만원 증액되는 데 그쳤다.

그 외에 ‘주요 정보통신 기반시설 보호’(-18.3%), ‘사이버 침해사고 예방’(-3.8%), ‘전자정부 정보보호 전문교육’(-10%) 등 예산도 일제히 감액됐다.

행안부 내 정보보호 전담 인력도 9명으로, 정부가 산정한 최소 인력 수준(9명)을 겨우 맞춘 수준이다. 2017년 정부 의뢰로 한국인터넷진흥원과 고려대가 산출한 중앙부처의 적정 정보보호 인력은 평균 17명, 최소 인력은 9명이다.

정부 업무망까지 해킹으로 뚫린 상황에서, 그간 정부가 보안에 안일한 인식을 갖고 있었던 게 아니냐는 비판이 나온다.

행안부와 국가정보원은 지난 17일 해커들이 약 3년간 공무원들 내부 업무망인 온나라시스템에 접근해 내부 자료를 열람하고, 공무원 650명의 GPKI 인증서를 탈취한 사실을 확인했다고 밝혔다. 이 중 12명의 인증서는 비밀번호까지 유출된 것으로 파악됐다. GPKI는 공무원이 신원을 보증하기 위해 사용하는 전자서명 체계로, 전자결재나 공문 작성 등에 활용된다.

지난 8월 미국 해킹 전문지인 ‘프랙’은 행안부, 외교부, 통일부, 해양수산부 등 정부기관과 민간기업에 대한 전방위적인 해킹이 이뤄졌다는 의혹을 제기했는데, 뒤늦게 이를 시인한 것이다.

정부 업무망뿐 아니라 전국 지방자치단체를 겨냥한 해킹 시도도 늘고 있다. 박정현 더불어민주당 의원실이 확보한 전국 지자체 대상 해킹 시도 현황에 따르면 지난 4년간 약 4788만건의 해킹 시도가 있었던 것으로 집계됐다.

전문가들은 정부 업무체계 전반의 보안을 강화하기 위한 투자가 확대돼야 한다고 지적한다. 황석진 동국대 국제정보보호대학원 교수는 “보안 시스템과 인력은 계속 업그레이드가 필요한 영역인데 예산이 줄어들면 보안 대응 역량이 위축될 수 있다”며 “이슈가 발생했을 때를 대비해서라도 보안을 강화하는 데 투자를 늘려야 한다”고 말했다.