교육부가 관리하는 교육행정정보시스템(나이스)의 보안대책이 허술하게 관리되고 있어 해킹에 취약한 것으로 나타났다.
18일 김희정 의원(새누리당 정책위원회 부의장)은 교육부에서 제출받은 '2012년 나이스 보안수준진단 및 개인정보영향평가 사업결과 보고서'를 전문가에게 의뢰해 분석한 결과 4개 분야에 걸쳐 61곳이 보안에 취약한 것으로 확인됐다고 밝혔다.
나이스는 교사, 학부모, 학생들의 인적사항, 학교생활, 성적 등이 저장돼 있는 교육행정정보시스템으로 교육부가 한국교육학술정보원에 관리를 위임하고 있다.
김 의원실은 차세대 나이스가 2011년 3월 도입됐으며, 그 해 교육부가 취약점에 대해 한 차례 점검을 했음에도 불구하고 여전히 문제점이 개선되지 않고 있는 것으로 나타났다고 밝혔다. 또한 해킹기술은 계속 진화하고 있기 때문에 상시적으로 취약점을 관리할 필요성이 있다고 지적했다.
교육부가 민간전문기관에서 분석을 의뢰한 결과에 따르면 소스진단 및 모의 해킹 8곳, 인프라 보안수준 14곳, 관리적 보안수준 진단 14곳, 개인정보 영향 평가 25곳 등 총 61곳이 대상이 됐다.
이에 대해 김 의원실이 전문가를 통해 추가로 분석한 결과 2011년 나이스 시스템 취약점 진단 당시 지적된 계정관리, 소스코드, 보안패치 등의 문제는 1년 뒤인 2012년에도 지속됐다.
분석보고서에 따르면 크로스사이트스크립팅(XSS)를 이용한 인증정보 획득 등 일부 취약점은 2011년 진단으로 취약점이 개선돼 이행점검이 완료됐다고 보고했으나 2012년에 또 다시 같은 취약점이 진단됐다.
의원실은 또한 소스진단 및 모의 해킹 부문에서는 서비스별로 중요도를 반영하지 않고 보안진단이 이뤄졌다고 지적했다. 나이스는 업무포털서비스, 대국민 서비스, 사용자 지원 서비스로 구성됐다. 완벽한 보안을 위해서는 서비스의 중요도를 반영해 보안수준에 맞게 맞춤형 점검이 이뤄져야한다. 그러나 지난 하반기(10월~12월) 점검결과에서 2011년과 달리 각 서비스별 중요도가 반영되지 않았다는 지적이다. 사용자 지원 서비스, 업무포털서비스는 서로 연동돼 있기 때문에 이 부분에 대한 보안성 점검 역시 철저히 이뤄져야 하나 이 점검에서는 누락된 것으로 확인됐다.
인프라 보안수준에서는 해킹 사고 발생시 원인을 추적하려면 PC의 접속 조작기록을 담은 로그관리가 이뤄져야 한다. 그러나 로그관리실태에 대한 점검 역시 이뤄지지 않았다고 의원실은 밝혔다. 또한 연계구간 가상사설망(VPN) 구축과 교육행정정보시스템 네트워크 망분리 및 가용성 확보는 당장 조치가 필요한 부분인데도 불구하고 2014년 이후로 미뤄진 점도 문제로 지적됐다.
이와 관련 교육부는 시스템 복잡성 때문에 장기간 준비기간이 필요하다고 해명했다. 그러나 의원실에서 전문가에게 확인한 결과 예산만 있으면 신속하게 보완이 가능하다는 답을 받았다고 밝혔다.
VPN의 경우 한국교육학술정보원은 연계구간 VPN구축은 나이스 외에도 에듀파인, 업무관리 등 시스템에서 사용하면서 서비스 복잡도가 높고, 가상사설망에 대한 정밀한 시스템 설계가 필요하기 때문에 전국 17개 시, 도교육청이 연동돼 전국적으로 사업이 진행돼야 한다고 해명했다고 의원실은 설명했다. 예산(24억원) 확보와 장시간의 사업 추진 준비가 필요해 올해 중에 의견 수렴과 기술 검토를 거쳐 사업을 진행할 예정이었다는 것이다.
이와 관련 보안전문가들은 인터넷에서 중요 정보를 다루는 경우 반드시 망분리, VPN을 통해 관리해야 한다고 주장했다.
관리적인 보안수준진단에서는 전자정부 정보보호관리체계 인증(G-ISMS)에서 미흡한 부분이 발견됐다. G-ISMS는 기관이 수립하고 구축한 종합적인 정보보호관리체계(ISMS)에 대해 제3자 기관인 한국인터넷진흥원(KISA)의 객관적인 심사를 거쳐 인증을 부여하는 제도다.
현재 나이스는 아직 G-ISMS 인증을 받지 않은 상황이다. 현재 중앙 및 지방정부, 대학, 공공기관 등 60곳이 G-ISMS 인증을 받았다.
학술정보원측은 이에 대해 인증에 필요한 시스템 요건을 갖추지 못해 심사요청을 미루고 있다고 밝혔다고 의원실은 설명했다.
이에 의원실은 나이스의 중요성을 고려해 주요정보통신기반시설로 지정할 필요가 있다고 밝혔다. 주요시설로 지정되면 미래창조과학부, KISA, 전문업체, 관리기관 등으로부터 보완실태에 대한 점검을 받는 한편 개선사안에 대한 이행여부를 점검받게 된다.
이미 한국고용정보원의 고용보험전산망, 고용안정전산망, 직업능력개발정보망, 보건복지개발원의 사회복지통합관리망 등이 이미 주요정보통신기반시설로 지정돼 엄격히 관리되고 있다.
관련기사
- 비행기 해킹...스마트폰으로 원격조종2013.04.18
- 금감원 "10일 농협 전산장애 해킹 아니다"2013.04.18
- KBS 접속장애 '해킹?'...서버 분석중2013.04.18
- 미래부 “해킹공격, 북한 IP 13개 포착”2013.04.18
김 의원은 교육정보시스템이 해킹으로 마비될 경우 국가적혼란이 우려된다며 나이스 시스템이 주요정보통신기반시설로 지정돼 엄격한 보안 관리가 이루어져야 한다고 말했다.
현재 주요정보통신기반시설로는 민간 76개, 공공 133개에 달한다.
