“작년에도 경고했는데…한국연구재단 논문투고시스템 12만명 털려”

[이데일리 김현아 기자] 한국연구재단 논문투고시스템이 해킹 공격으로 12만 명의 개인정보가 유출된 가운데, 국책연구기관(출연연) 전반의 보안 부실 문제가 다시 국회에서 도마 위에 올랐다.

지난해 이미 망분리 미이행 문제 등이 국정감사에서 지적됐지만, 올해까지도 개선이 거의 이뤄지지 않은 것으로 확인됐다.

국회 과학기술정보방송통신위원회 이훈기 의원(더불어민주당·인천 남동을)은 지난 24일 출연연 국정감사에서 “작년 국감에서 망분리 미흡 문제를 지적했음에도 불구하고, 출연연 24개 기관 중 여전히 3곳만 망분리가 이뤄진 상태”라며 “결국 한국연구재단 논문투고시스템 해킹으로 12만 명의 개인정보가 털리는 사태까지 발생했다”고 비판했다.

특히 이 의원은 “유출된 피해자 중 1559명은 본인 동의 없이 특정 학회에 무단 가입되는 2차 피해까지 겪었다”며 “무려 17년간 시스템을 한 번도 재구축하지 않았고, URL 파라미터 변조 수준의 기초 해킹 수법에도 뚫렸다”고 지적했다.

이중 인증 없음·ISMS 미취득…‘예견된 사고’

한국연구재단 논문투고시스템은 이중 인증 절차가 없는 데다 정보보호 관리체계(ISMS) 인증도 미취득 상태였으며, 정보보호 관리실태 점검에서도 2년 연속 ‘미흡’ 평가를 받은 것으로 드러났다.

이 의원은 “관리·운영 부실이 누적되며 발생한 전형적인 ‘예견된 사고’”라고 질타했다.

유출 사실 통보도 지연…피해자 8755명 연락 못 받아

이 의원은 “법정 72시간 이내 통보 원칙에도 불구하고, 정밀조사 기간 동안 3일간 ‘유출 없음’으로 보고했고, 이메일 통지만 하다가 15일 후에야 문자 통보를 했다”며 “연락이 닿지 않은 8,755명은 해킹 사실 자체를 몰랐다”고 비판했다.

이 의원이 “작년 국감에서 지적한 사항들이 전혀 개선되지 않았는데 과기정통부는 이를 어떻게 보느냐”고 묻자, 구혁채 과학기술정보통신부 차관은 “부족한 부분이 많았다”며 “국정원 및 유관기관과의 사이버 공격 대응 체계를 강화하고 지적 사항을 보완하겠다”고 밝혔다.

또한 한국연구재단의 징계 조치 여부를 묻는 질문에 대해 홍원화 이사장은 “1차 징계를 시행했으며, 개인정보보호위원회 조사 결과에 따라 보다 엄격한 조치를 취할 것”이라고 답했다.

“보안 체계 공백 최소 2년 지속…전면 재정비 시급”

한편 이 의원은 전수점검 결과를 근거로 “ISMS 인증 취득 기관은 53곳 중 3곳에 불과하고, 망분리 적용률은 작년과 동일한 24곳 중 3곳 수준”이라며 “2027년에나 망분리가 본격 확산된다면 올해와 내년은 사실상 보안 공백 상태”라고 경고했다.