보안취약성 셀프평가에 점수 조작의혹

보안관제를 맡은 업체가 보안취약성도 셀프평가

등급기준 낮추고 점수는 올려 위험등급을 보통등급으로 2단계 상향

최근 5년 중 올해 IT 보안 가장 취약

지폐를 발행하는 한국은행에서 가장 단단할 것 같은 보안시스템이 최근 5년 이래 올해 들어 보안점수가 가장 많이 떨어진 것으로 드러났다.

특히 단말기 부문에서는 한은금융결제망과 연결된 시중은행보다도 보안점수가 더 낮은 것으로 나타나 중앙은행이자 결제망의 호스트로서 체면을 구기고 있다.

기획재정위원회 소속 심재철 국회의원(안양 동안을)이 한국은행의 최근 5년간 <정보처리시스템 취약점 분석평가 결과보고서>를 제출받아 분석한 결과, 보안점수를 조작한 의혹도 발견되었다.

심 의원은 “2011년에 시스템 취약점 분석결과 종합점수가 95점, 2012년에는 96점이던 것이 2013년에는 94.5점, 2014년에 93.5점, 그리고 올해에는 90.7점까지 떨어져 우수등급에 겨우 턱걸이를 했다”며 “이 가운데 단말기 부문에서는 67.9점으로 보통등급을 받았는데, 한은금융결제망과 연결된 시중금융권의 단말기도 함께 분석해본 결과는 84점으로 나와 한국은행의 보안수준이 시중은행에 비해 현저히 떨어지는 것으로 나타난 것이다”고 지적했다.

또 “한국은행이 평가받은 67.9점은 한국은행 자체의 평가기준으로는 보통등급에 해당하지만, 국가정보보안 기본지침상 평가기준에 따르면 취약등급에 해당된다”며 “한국은행은 기본지침보다 보통등급은 10점을 낮추고 취약등급은 20점이나 낮춰서 보안점수가 낮아도 취약 및 위험등급을 벗어나도록 기준을 만들었다”고 밝혔다.

이는 “미래창조과학부에서는 2013년 8월에 「주요정보통신기반시설 취약점 분석･평가 기준」 고시를 만들어 IT취약점 분석·평가시에는 이 기준에서 정한 체크리스트를 따르도록 했다”며 “한국은행의 금융망시스템도 2014년에 주요정보통신기반시설로 지정되어 올해부터는 위 기준을 따른다고 밝힌 바 있다”고 말했다.

심 의원이 위 기준에 따른 체크리스트(첨부)와 한국은행의 취약점 진단항목을 비교해본 결과, 67.9점이 아니라 51.5~54.2점(체크리스트와 한국은행의 진단항목이 불일치하는 것이 5건이 있어 이를 상, 중, 하 점수 모두를 대입하여 최저점과 최고점을 산출)이 나오는 것으로 계산되었다.

「국가정보보안 기본지침」에 따른 평가기준상 위험(불량)등급에 해당한다.

한국은행 측에서 평가기준점수를 낮춘 데 이어 보안점수까지 조작했다는 의혹이 있는 것이다.

이 경우 종합점수는 90.7점이 아닌 86.5~87점이 되어 우수등급에서 양호(안전)등급으로 한 단계 떨어진다.

심 의원은 “이러한 허술한 보안평가의 배경에는 보안관제를 맡은 용역업체가 IT 취약점 진단·평가 컨설팅 용역까지 3년 내내 동시에 맡고 있다는 사실이 있다”며 “보안을 집행하는 업체가 그 보안을 셀프평가 한 것”이라고 밝혔다.

“게다가 2014년에는 대외시스템 개인정보보호 실태평가 컨설팅 용역까지도 독점적으로 맡았다”며 “2013년 보안관제업체가 교체되고 셀프평가까지 도맡으면서 한국은행의 보안수준이 매년 하락하고 있는 것”이라고 밝혔다.

심 의원은 “한국은행은 우리나라 은행의 중심으로서 한은의 금융결제망이 무너지면 금융 대혼란이 일어나기 때문에 보안사고 예방에 각별한 주의를 기울어야 하는데도 한국은행이 보안업체를 선정한 후 보안평가까지 다 맡겨버렸다는 것은 보안사고에 대한 경각심이 없다는 것을 의미한다”며 “한국은행이 보안업체에 대한 감독기능을 강화할 필요가 있다”고 강조했다.

<자료제공=새누리당, 안양동안을 심재철 의원실>

<저작권자(c) 경기미디어신문, 무단 전재-재배포 금지>