[IT/보안 뉴스] 국정원 "공공기관 25곳 보안 미흡…15년전 윈도 쓰기도"

 

 

기사 요약

 

 

국가정보원이 실시한 '2023년 공공기관 정보보안 관리실태 평가' 결과, 공공기관 보안 수준은 100점 만점 중 평균 75.47점으로 전년대비 개선된 것으로 나타났다. 전담조직·인력·예산확보 등의 수준이 상승한 것이 주요 요인이다. 그러나 130개 기관 중 25개 기관은 수준 미달인 것으로 조사돼 개선이 필요한 상황이다.

 

기술적 보안 분야에서 여전히 절반에 가까운 공공기관에서 서버·네트워크·보안장비 등 정보시스템에 대한 비인가자 접근통제가 미흡한 것으로 나타났다. 또 용역업체 직원에 대한 시스템 접근 권한을 차등 부여해야 함에도 불구하고 이를 이행하지 않는 등 용역업체 보안관리도 전년보다 미흡한 것으로 확인됐다.

아울러 윈도 7·윈도 서버 2008 등 보안 지원이 중단된 운영체제의 사용, 시스템 보안패치 미 적용, 보안 설정 미흡 등도 문제점으로 지적됐다.

국정원은 "시스템 접근통제 등 평가점수가 저조한 분야에 대해 교육과 현장 컨설팅 등을 강화해 보안 수준을 높이도록 유도할 계획"이라고 설명했다.

 

 

 

 

---

 

 

리뷰

 

 

기사에서 알 수 있듯이 기술적 보안 분야에서 절반에 가까운 공공기관에서 비인가자 접근통제가 미흡하다고 나와있다.

정보처리기사 취득을 준비할 때 접근통제 방식에 대해 공부한 적이 있다.

 

https://record-study-steadily.tistory.com/74

접근통제 모델

 

공공기관일수록 더 세심하게 보안에 대해 신경 써야 한다고 생각이 든다. 특히, 이미 지원이 종료된 윈도 구버전을 사용하고 보안 프로그램 패치도 진행되지 않았다는 사실에 충격이었다. 이러한 보안 허점들을 통해서 중국, 북한에서 해킹을 시도할 수도 있고, 내부 정보 유출과 같은 문제가 발생하기 때문에 철저히 관리해야 된다는 것을 알고 있다. 이렇게 보안 수준이 높아졌지만 여전히 관리가 제대로 안 되는 곳이 존재하는 것을 확인할 수 있었다.

 

이번 평가 이후 미흡한 기관들이 보안 컨설팅이나 교육을 통해 보안에 대한 경각심을 키우면 좋겠다는 생각이 들었다. 그리고 기사를 통해서 접근통제 모델에 대해 복습을 진행하고 ISMS-P 인증 기준 접근통제 부분을 살펴볼 수 있는 기회가 되었다.

 

 

 

 

---

 

 

기사 출처

 

 

https://n.news.naver.com/mnews/article/003/0011984293?sid=105 

국정원 "공공기관 25곳 보안 미흡…15년전 윈도 쓰기도"