범부처 연구지원시스템 보안 구멍…해킹 테스트도 안한 채 운영
공공클라우드 전환 계획도 제대로 마련 못 해…KISTEP 종합감사 결과
(서울=연합뉴스) 오수진 기자 = 올해 본격적으로 문을 연 범부처 통합연구지원시스템(IRIS)이 보안 대책을 제대로 마련하지 않은 채 시범 운영을 시작했던 것으로 뒤늦게 드러났다.
IRIS는 국가 연구개발(R&D) 과제 관리, 연구비 관리, 연구자 정보 시스템 등이 통합돼 있기 때문에 부처, 연구 기관 등 국가 R&D에 참여하는 대부분의 관계자가 사용한다.
연구자 중심의 연구 환경을 조성하고자 마련됐으며 지난해 11월 시범 운영을 시작한 뒤 올해 1월 공식 개시됐다.
24일 과학기술정보통신부(과기정통부) 등에 따르면 최근 한국과학기술기획평가원(KISTEP)을 대상으로 과기정통부가 종합 감사를 진행한 결과 IRIS 보안 시스템 구축 과정에 미흡한 점이 발견됐다.
감사 결과 IRIS 구축 사업을 추진한 KISTEP은 공공 기관 해킹 위협이 증가하는 상황을 고려해 소프트웨어(SW) 보안 약점 진단, 모의 해킹 등을 수행해야 한다는 사업 수행 계획서를 마련해놓고도 모의 해킹을 진행하지 않은 채 시범 운영을 시작했다.
아울러 사이버 공격으로 인한 자료 절취와 위·변조 등에 대비해 관리자용 서비스 접근 경로를 분리해야 하지만 개별 사용자와 동일 경로를 통해 서비스에 접근하도록 시스템을 개발했다.
과기정통부는 KISTEP 종합감사 처분 요구서를 통해 "관리자 권한이 부여된 사용자의 개인정보 등이 노출되는 경우 관리자의 권한까지 노출될 수 있어 보완이 시급하다"고 지적했다.
또 KISTEP은 IRIS의 공공클라우드 전환 대책도 제대로 마련하지 않은 것으로 나타났다.
공공클라우드 전환이란 정부 기관 전산실에 분산돼있는 공공정보시스템 1만여 개를 클라우드 기반 통합 관리로 바꾸는 것을 말한다.
행정안전부의 제2차 전자정부 기본계획(2021∼2025)에 따르면 공공기관인 KISTEP은 2025년까지 정보 자원을 공공 또는 민간 클라우드로 전환해야 한다.
하지만 KISTEP은 IRIS와 관련해 행안부가 운영하는 공공클라우드를 활용하지 않고 자체 클라우드를 구축했으며, 이 클라우드는 행안부로부터 공공클라우드센터로 공식 인정을 받지 못한 상태다.
과기정통부는 "자체 클라우드로 계속 운영하려면 행안부 장관 승인을 받아야 하는데 이에 대한 대책이 마련돼 있지 않다"며 "공공클라우드로 전환할 경우 이전 비용 예산 확보, 기존 시스템 활용 방안 등의 계획도 아직 없어 클라우드 전환 방향에 혼선이 있는 상황"이라고 지적했다.
과기정통부는 "사업수행계획서에 명시된 IRIS에 대한 시나리오 기반 모의해킹을 진행해 보안 약점 진단이 실시될 수 있도록 이행 관리를 철저히 하라"며 "사업 수행 관리를 소홀히 한 관련자에 주의 조치하라"고 강조했다.
아울러 "클라우드 전환 방향을 명확히 설정해 그에 따른 후속 조치를 시행해야 한다"고 KISTEP에 통보했다.
kiki@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
공공클라우드 전환 계획도 제대로 마련 못 해…KISTEP 종합감사 결과
(서울=연합뉴스) 오수진 기자 = 올해 본격적으로 문을 연 범부처 통합연구지원시스템(IRIS)이 보안 대책을 제대로 마련하지 않은 채 시범 운영을 시작했던 것으로 뒤늦게 드러났다.
IRIS는 국가 연구개발(R&D) 과제 관리, 연구비 관리, 연구자 정보 시스템 등이 통합돼 있기 때문에 부처, 연구 기관 등 국가 R&D에 참여하는 대부분의 관계자가 사용한다.
연구자 중심의 연구 환경을 조성하고자 마련됐으며 지난해 11월 시범 운영을 시작한 뒤 올해 1월 공식 개시됐다.
24일 과학기술정보통신부(과기정통부) 등에 따르면 최근 한국과학기술기획평가원(KISTEP)을 대상으로 과기정통부가 종합 감사를 진행한 결과 IRIS 보안 시스템 구축 과정에 미흡한 점이 발견됐다.
감사 결과 IRIS 구축 사업을 추진한 KISTEP은 공공 기관 해킹 위협이 증가하는 상황을 고려해 소프트웨어(SW) 보안 약점 진단, 모의 해킹 등을 수행해야 한다는 사업 수행 계획서를 마련해놓고도 모의 해킹을 진행하지 않은 채 시범 운영을 시작했다.
아울러 사이버 공격으로 인한 자료 절취와 위·변조 등에 대비해 관리자용 서비스 접근 경로를 분리해야 하지만 개별 사용자와 동일 경로를 통해 서비스에 접근하도록 시스템을 개발했다.
과기정통부는 KISTEP 종합감사 처분 요구서를 통해 "관리자 권한이 부여된 사용자의 개인정보 등이 노출되는 경우 관리자의 권한까지 노출될 수 있어 보완이 시급하다"고 지적했다.
또 KISTEP은 IRIS의 공공클라우드 전환 대책도 제대로 마련하지 않은 것으로 나타났다.
공공클라우드 전환이란 정부 기관 전산실에 분산돼있는 공공정보시스템 1만여 개를 클라우드 기반 통합 관리로 바꾸는 것을 말한다.
행정안전부의 제2차 전자정부 기본계획(2021∼2025)에 따르면 공공기관인 KISTEP은 2025년까지 정보 자원을 공공 또는 민간 클라우드로 전환해야 한다.
하지만 KISTEP은 IRIS와 관련해 행안부가 운영하는 공공클라우드를 활용하지 않고 자체 클라우드를 구축했으며, 이 클라우드는 행안부로부터 공공클라우드센터로 공식 인정을 받지 못한 상태다.
과기정통부는 "자체 클라우드로 계속 운영하려면 행안부 장관 승인을 받아야 하는데 이에 대한 대책이 마련돼 있지 않다"며 "공공클라우드로 전환할 경우 이전 비용 예산 확보, 기존 시스템 활용 방안 등의 계획도 아직 없어 클라우드 전환 방향에 혼선이 있는 상황"이라고 지적했다.
과기정통부는 "사업수행계획서에 명시된 IRIS에 대한 시나리오 기반 모의해킹을 진행해 보안 약점 진단이 실시될 수 있도록 이행 관리를 철저히 하라"며 "사업 수행 관리를 소홀히 한 관련자에 주의 조치하라"고 강조했다.
아울러 "클라우드 전환 방향을 명확히 설정해 그에 따른 후속 조치를 시행해야 한다"고 KISTEP에 통보했다.
kiki@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
