(서울=연합인포맥스) 이호 홍경표 기자 = 국민연금이 업무용 PC 프로세스 점검을 강화하고 보안관제 시스템 및 매뉴얼을 개선키로 했다. 잇따른 보안사고에 따른 후속 조치다.

10일 국민연금에 따르면 최근 장애인지원실 소속 기간제 근로자가 금지프로그램인 '토르 브라우저(Tor Browser)'를 이용해 외부 상용 메일에 무단으로 접속한 사실이 감사를 통해 적발됐다.

토르 브라우저를 이용하면 흔적 없이 익명으로 인터넷에 접속할 수 있어 국민연금은 내부 규정상 이 프로그램을 통한 외부 메일 접속을 금지하고 있다.

해당 직원은 가입자의 성명과 생년월일, 주소, 장애등급 등 개인정보가 포함된 엑셀 파일을 암호화하지 않고 그대로 개인 PC와 개인 이메일에 저장했다. 국민연금은 해당 근로자에게 엄중 경고 조치를 내렸다.

문제는 해당 직원의 이러한 행위가 국민연금 정보보안부의 랜섬웨어 관련 보안관제 수행 중 우연히 탐지됐다는 점이다.

정보보안부는 해당 트래픽이 해당 직원의 토르 브라우저 사용 때문에 발생한 것도 인지하지 못했다. 추후 조사를 통해 랜섬웨어가 아니라 토르 브라우저임을 알게 됐다.

국민연금은 업무용 PC 사용자의 비인가 프로그램 사용 여부를 상시로 점검하거나, 정보 유출 행위가 발생하면 즉시 탐지하는 프로세스를 갖추지 못하고 있었다.

이 때문에 기금본부 실장의 기밀유출 사건 이후에도 개인정보 관리에 허점이 드러나 '소 잃고 외양간 고치기'도 못하고 있다는 지적이 나오고 있다.

올해 초 기금본부 실장 등 퇴직자 3명이 공단 웹메일을 통해 프로젝트 투자자료 등 기금운용 관련 기밀 정보를 외부로 전송해 개인 PC와 외장 하드에 저장했었다.

이 중 한 명은 기밀정보 유출 관련 감사로 사직서가 반려된 사실을 알고도 재취업 기관으로 출근해 영리 업무 및 겸직금지 의무까지 위반했다.

국민연금은 기금본부 기밀유출 관련자들에게 징계를 결정한 후 운용역에 대한 준법교육을 의무화하고 내부통제를 강화했지만, 이번 사고를 막지 못했다.

국민연금은 보안 강화를 위해 업무용 PC 점검 프로세스를 강화하고 사용자 교육을 시행하며, 보안관제 시스템 및 매뉴얼의 개선을 통해 보다 실효성 있는 정보보안 체제를 구축할 계획이다.

국민연금은 "토르 같은 경우 현재 공단의 보안 장비로 추적하기 어려운 면이 있어 이런 프로그램 등을 제어하기 위한 솔루션이 필요하다"고 설명했다.

hlee@yna.co.kr

kphong@yna.co.kr

(끝)
저작권자 © 연합인포맥스 무단전재 및 재배포 금지