[2017국감]경품 이벤트 응모하려 '악성코드' 빼낸 KISA 직원

보안회사 이벤트 응모 위해 KISA 시스템 접속해 악성코드 빼내려 시도
박대출 의원 "시스템 인가자 계정 빌려 접속…개인 일탈로 보기 어렵다"

인터넷진흥원 나주 신청사 전경

[아시아경제 한진주 기자] 인터넷진흥원(KISA) 직원이 보안회사가 주관하는 악성코드 이벤트에서 경품을 얻기 위해 악성코드를 유출한 것으로 나타났다.

17일 국회 과학기술정보방송통신위원회가 인터넷진흥원 등을 대상으로 실시한 국정감사에서 박대출 자유한국당 의원은 "인터넷진흥원 자체 감사를 통해 직원이 보안업체 이벤트에서 경품을 얻으려고 악성코드를 빼돌린 것으로 드러났는데 부끄럽고 황당한 사건"이라고 지적했다.

박 의원은 "보안업체 이벤트에 악성코드를 올리기 위해 보안 코드 시스템에 접근할 수 없는 비인가자임에도 불구하고 인가자인 옆 직원의 계정을 빌려서 접속했는데 어떻게 이런 일이 있을 수 있는지 의문"이라고 질타했다.

이어 "한 개인의 일탈로 보기 어렵다"며 "정보보호관리체계(ISMS)의 점검항목 기준대로 운영하는 시스템이 있으면 이런 사고는 애시당초에 일어날 수 없다"고 지적했다.

ISMS 평가항목 중 ▲정보시스템 접근은 사용자 인증절차에 의해 통제돼야 한다 ▲동일한 식별자를 공유해 사용하는 경우 책임자의 승인을 받아야 한다는 것을 위반했다는 것이다.

인터넷진흥원이 박대출 의원에게 제출한 내부 감사보고서를 살펴보면, 해당 직원이 빌린 계정으로 내부 시스템에 접속한 기록이 남아있다. 다만 로그파일이 없어 악성코드를 실제로 추출했는지 여부는 확인되지 않았다. 인터넷진흥원은 해당 직원에 대해 견책 처분을 내렸다.

이에 대해 박정호 인터넷진흥원 부원장은 "해당 직원에 대해서는 인사 조치를 했다"며 "인가를 받았다고 해도 사용자가 특정 시스템에 접속할 때 IP 주소를 적고 상사에게 결재를 받은 후 접속할 수 있도록 시스템을 수정했다"고 답변했다.

한진주 기자 truepearl@asiae.co.kr