본문 바로가기

IT 기사/보안

(2011-04-28) USB 보안, 어느 공공기관 관계자의 고백


(2011-04-28) USB 보안, 어느 공공기관 관계자의 고백


"허가되지 않은 USB를 사용하는 것이 위험하다는 공문도 받았고 이야기도 들었지만 솔직히 개인용 USB를 사용하는 공무원들이 많이 있고 일부에서는 점검도 형식적으로 이뤄지고 있습니다. 이러다가 USB를 통해 정보가 유출되고 시스템이 감염되는 큰 사건이 발생하는 것은 아닌지 모르겠습니다."

휴대용 저장매체인 USB를 통한 정보 유출과 악성코드 감염이 문제가 지속적으로 발생하고 있습니다.

특히나 업무망과 인터넷망이 분리돼 있는 공공기관에서는 정보유출 창구로 USB가 지목되고 있으며 해커들도 USB를 통한 정보유출을 노리고 있습니다.

실제로 최근 몇 년 간 군과 정부 기관들에서는 USB 분실, USB를 통한 악성코드 전파, 정보유출 등의 사고가 계속 발생했습니다.

이에 국가정보원은 지난해 8월 모든 중앙부처 및 공공기관에 `국가·공공기관 USB 보안관리 강화대책`을 전달했으며 9월~10월 중 조치 결과를 답변 받았습니다. 이번 대책에 따라 정부 기관들은 8월 이후 매월 USB 보안을 점검하고 있고 대책을 마련하고 있습니다.

하지만 일부 공공기관에서는 이런 대책에도 불구하고 여전히 USB 보안이 잘 안 지켜지고 있다고 합니다.

모 진흥원 관계자는 "지난해 대책을 전달받았지만 그 이후 변한 것은 없습니다. 여전히 기관에서 직원들이 개인용 USB를 사용하고 있고 상급기관인 중앙부처 사람들과도 USB를 통해 서류 등을 전달하고 있습니다. 관리 장부를 운영하라고 하지만 그런 것을 하기 귀찮아서 공식적인 보안 USB는 아예 등록을 안 하거나 등록 만하고 사용을 안하고 암암리에 개인용 USB와 휴대용 하드디스크 등을 씁니다"라고 말했습니다.

그는 또 "공식적으로 웹하드를 쓰기도 하지만 이도 귀찮고 번거로워서 휴대용 저장매체를 많이 사용하고 있습니다. 검열이나 점검이 나오기는 하지만 그들도 다 이런 상황을 알고 자신들도 그렇게 하고 있기 때문에 나왔다가 도장을 찍고 들어가는 형태로 점검이 이뤄집니다. 오죽하면 점검자들이 자꾸 나와서 미안하다는 이야기를 하겠습니까"고 설명했습니다.

물론 USB를 관리 대책없이 사용하는 것이 문제가 있다는 것은 모두들 알고 있지만 관행 때문에 고쳐지지 않고 있다고 합니다.
진흥원 관계자는 "USB를 분실하거나 정보가 유출됐을 때 공문서와 각종 정보들이 외부로 나갈 수 있기 때문에 심각하다는 것을 알고 있지만 지금까지 그렇게 관행적으로 사용해 왔기 때문에 알면서도 계속 그렇게 사용을 합니다"라며 "정부에서 좀 더 현실적인 대책을 내놓아야 하는 것이 아닌가 싶습니다"라고 전했습니다.

비단 USB 보안이 지켜지지 않는 것은 이 진흥원만의 문제는 아닙니다.

모 지자체 IT 관계자는 "USB를 사용했을 때 위험을 경고 받았고 또 알고 있지만 업무망과 인터넷망 사이에 정보를 옮기기 용이하고 업무상 자료 전달이 쉬워 USB 등을 사용하고 있습니다. 등록 허가를 받은 USB를 사용해야 하지만 솔직히 개인 USB를 사용하고 있습니다"라고 말했습니다.

USB를 사용하는 것은 업무를 용이하게 해 주지만 만약 USB에 담긴 공공기관의 서류가 외부로 유출되거나 개인정보가 유출됐을 때 파장은 일반 기업의 정보가 유출된 것보다 훨씬 클 것입니다. 또 USB를 통해 공공기관 시스템이 악성코드에 감염돼 시스템이 마비되고 정보가 빠져나간다면 그것 또한 심각한 상황을 초래할 것입니다.

정부에서 공문을 내려보내는 것에 그치지 말고 실질적으로 USB 보안을 강화할 수 있는 방안을 강구해야 하는 것이 아닌가 생각해 봅니다.

디지털타임스 강진규 기자 kjk@dt.co.kr