2013년도 국정감사에서, 보건복지분야 정보화 지원 및 정보시스템의 통합 운영·관리 등의 업무를 수행하고 있는 「한국보건복지정보개발원(이하 ‘정보개발원’)」의 정보보안 수준이 총체적으로 부실하다고 지적되었다.
문정림 의원(보건복지위원회, 새누리당)은 「사회복지통합관리망 등 대국민서비스 정보시스템 구축 및 활용 실태」에 대한 감사원의 감사결과 및 정보개발원 감사팀의 내부감사결과를 분석한 결과, 정보개발원의 개인정보 보호조치가 낙제수준이라고 지적했다.
문 의원은 “지난 해 3월, 감사원의 정보개발원에 대한 『감사결과 처분요구서』를 보면, 사회복지통합관리망 상의 개인의 주민번호, 재산정보, 계좌정보와 같은 민감정보 등이 암호화되지 않은 채 DB서버에 그대로 저장·관리되어 해킹 등에 무방비상태에 놓일 위험에 처해있었는가 하면, 자료유출방지시스템을 운영하기 위한 서버가 상당 기간 동안 기준 이하로 운영되었고[표1], 사회복지통합관리망 관리와 관련 없는 직원 또한 관리망에 접근권한을 갖고 있었던 사례가 27건이나 있었다[표2]”고 지적했다.
문 의원에 따르면, ① 보건복지부와 정보개발원은 대량의 개인정보를 암호화·복호화하는 과정에서 발생하는 과부하 문제를 해결하기 위해, 과부하 원인이 되는 DB암호화 소프트웨어를 아예 제거(’11.04.02.)하여, 주민번호 등 중요한 개인정보가 암호화되지 않은 채 저장·관리되는 상태로 DB를 운영해오다 적발(’11.12.13. 감사원 감사일)되었고, ② 외부침입에 의한 전산자료의 유출·노출 여부를 탐지하는 자료유출방지시스템 운영 서버(H/W)을 구축(’11.02.28.)하였으나, 상당기간(’12.08.까지 약 1년 6개월 여) 동안 적정 성능에 미치지 못하는 상태로 시스템을 운영하여 해킹 등 외부침입에 의한 전산자료의 유출·노출 여부를 전혀 파악하지 못하고 있었다. 또한, ③ 통합관리망을 관리 또는 운영하는 직원에 대한 접근권한 관리지침을 따로 제정·운영하지 않음으로써, 전보·파견복귀·휴직 등으로 관련 업무를 하고 있지 않은 직원(27명)에게도 계속 접근권한을 부여하고 있다가 적발되는 등 개인정보 보호조치가 심각할 정도로 미흡했던 사실이 감사원 감사에서 지적된 바 있다.
이어서 문 의원은 “더구나, 올해 초 정보개발원 내부감사 결과를 반영한 『2013년 자체감사결과 처분요구서』를 분석한 결과, ① 2012년도에 개인정보보호심의위원회는 단 한 차례도 개최되지 않았으며, ② 분기별로 열려야 하는 보안교육이 최대 82일까지 지연 실시되었고[표3], ③ 비밀취급 인가증이 없는 직원이 비밀 관련 업무를 담당하고 있었으며, ④ 권한 없는 부서에서 비밀문서를 보관하고 있었다. 또한, ⑤ 정해진 기한을 114일 넘긴 후에야 ‘2012년도 보안업무 추진계획’이 수립되었으며, ⑥ 연 2회 이상 실시하도록 되어 있는 ‘자체 정보보안 감사’를 한 차례도 실시하지 않는 등 정보보안 수준에 심각한 문제가 있음을 보여주는 사례들이 지속되었다”고 지적했다.
이와 관련해 문 의원은 “지난 2010년 1월 4일, 기초생활보장 급여 등 각종 복지급여와 서비스 내역을 개인·가구별로 통합 관리하고, 지방자치단체의 복지업무 처리를 지원하기 위해 사회복지통합관리망이 구축된 이후, 정보개발원은 2010. 4. 26.부터 보건복지부로부터 이를 위탁받아 운영하고 있다”며, “사회복지통합관리망에는 총 44개의 범정부 기관의 업무와 연관된 496종, 총 3,300만 건 가량의 소득·재산자료 및 건강 정보와 같은 민감한 개인정보가 수집·저장되어 있는데[표4], 이를 운영하고 있는 정보개발원의 정보보안 수준에 허점이 드러난 것은 국가적으로 심각한 위기상황에 놓일 수 있다는 것을 의미한다”고 우려를 제기했다.
마지막으로 문 의원은 “정보개발원은 ‘정보보호 기반강화를 통한 정보보안 무사고 운영’을 그 동안의 성과로 내세우고 있는데, 지난 감사에서 드러난 정보보안 불감증을 보면 과연 앞으로 무사고 운영이 가능할지 의문”이라고 지적하며 “보건복지부와 한국보건복지정보개발원은 유사한 문제가 재발하지 않도록 관련 시스템을 정비하는 한편, 개인정보를 취급하는 인력에 대한 철저한 교육 계획을 수립하여 시행하는 등 정보보안을 위한 특단의 대책을 마련해야 할 것”이라고 강조했다.
[표1]
자료유출방지시스템 운영 서버(H/W) 운영 현황
|
품 목 |
현 보조기억매체 통제시스템의 성능 |
자료유출방지시스템 운영 서버의 적정 성능 |
부 족 |
|
CPU |
4Core 2.0GHz |
4Core 3.0GHz 이상 |
1GHz 이상 |
|
메모리 |
4GByte |
16GByte 이상 |
12GByte 이상 |
주: 시스템 구축 당시(2010. 12. 27.) 시스템 성능의 최적화를 반영한 운영 서버 규격(추정치)
< *출처 : 감사원, 「감사결과 처분요구서(2013. 3.)」>
[표2]
사회복지통합관리망 서비스 접근 권한 관리 실태
|
원 소속 |
성 명 |
권한부여일 |
권한 변경 사유 발생 내용 |
권한 유지 여부 |
|
○○○○부 |
○○○ |
2010. 9. 9. |
2011. 1. 21. ○○○○본부에서 ○○○실로 이동 |
○ |
|
○○○ |
2011. 5.24. |
2011. 7. 18. ○○○○과에서 ○○○○부로 이동 |
○ | |
|
○○○ |
2010. 8.12. |
2011. 7. 1. ○○○○과에서 ○○○○관으로 이동 |
○ | |
|
○○○ |
2011. 1.14. |
2011. 6. 1. ○○○○과에서 휴직 |
○ | |
|
○○시 ○○○청 |
○○○ |
2010. 9. 9. |
2010.12. 6. 파견 복귀 |
○ |
|
○○시청 |
○○○ |
2010. 9. 9. |
2011. 2. 28. 파견 복귀 |
○ |
|
○○도 ○○시청 |
○○○ |
2010. 9. 9. |
2010.12. 24. 파견 복귀 |
○ |
|
○○○도 ○○시청 |
○○○ |
2010.10.13. |
2011.10. 5. 파견 복귀 |
○ |
|
○○도 ○○○시청 |
○○○ |
2011. 1.14. |
2011. 5. 1. 파견 복귀 |
○ |
|
○○○○원 |
○○○ |
2011. 2.18. |
2011. 9. 1. 파견 복귀 |
○ |
|
○○○ |
2010. 8.12. |
2011. 2. 8. 파견 복귀 |
○ | |
|
○○○ |
2010.10.14. |
2011. 4. 1. 파견 복귀 |
○ | |
|
○○○○부 |
임시권한 15명 |
2010. 9. 9. |
현장 점검반을 위해 임시 권한 계정을 설정하였으나 운영하지 않음 |
○ |
|
계 |
27명 |
- |
- |
- |
< *출처 : 감사원, 「감사결과 처분요구서(2013. 3.)」>
[표3]
한국보건복지정보개발원 정보보안교육 실시 현황
|
년도 |
교육명 |
교육일 |
근거규정 준수여부 |
지연일수 |
|
2012 |
2012년 1분기 정보보호교육 |
‘12.3.29 |
준수 |
- |
|
2012년 상담직원 정보보호교육 |
‘12.4.26 |
지연준수 |
26일 | |
|
2012년 2차 정보보호교육 |
‘12.8.30 |
지연준수 |
61일 | |
|
2012년 3차 정보보호교육 |
‘12.11.7 |
지연준수 |
36일 | |
|
2012년 4차 정보보호교육 |
‘12.12.21 |
준수 |
- | |
|
2013 |
개인정보보호 분임담당자 교육 |
‘13.6.21 |
지연준수 |
82일 |
|
2013년 1차 정보보호교육 |
‘13.7.17 |
지연준수 |
17일 | |
|
2013년 상담원 정보보호 교육 |
‘13.7.22 |
준수 |
- | |
|
SW개발보안(시큐어코딩) 교육 |
'13.8.27 |
준수 |
- | |
|
개인정보영향평가 교육 |
‘13.9.6 |
준수 |
- |
< *출처 : 문정림의원실에서 한국보건복지정보개발원 제출자료 재구성>
[표4]
사회보장정보시스템(행복e음) 연계 현황
|
(‘13. 10. 28 현재, 단위 : 개) | ||||||
|
구 분 |
유 형 |
부 처 |
운영기관 |
시스템 |
연계정보 |
송신/수신 |
|
업 무 |
자 격 정보 |
14 |
21 |
25 |
55 |
55/0 |
|
소득·재산·인적정보 |
12 |
21 |
26 |
48 |
0/48 | |
|
수혜이력정보 |
4 |
6 |
8 |
19 |
0/19 | |
|
업무처리정보 |
12 |
27 |
40 |
374 |
185/189 | |
|
계 |
20 |
44 |
69 |
496 |
240/256 | |
주: 부처, 운영기관, 시스템은 중복을 제거하여 합계 도출
