[한국농정신문 김수나 기자]
지난 4월 농촌진흥청(청장 이승돈, 농진청)이 보유한 개인정보 47만9000여건이 본청 외부의 용역업체 사업장에서 해킹으로 유출됐다. 약 7개월이 지난 현재 어떤 상황일까.
관련 사안은 여전히 개인정보보호위원회(개보위) 조사 및 경찰 수사 중이다. 농진청은 보안 강화를 위해 지난 5월 1일 해당 용역업체의 업무 공간을 본청 내로 옮겼다.
지난 10월 국회 농림축산식품해양수산위원회 국정감사에서 보안업무는 본청 내에서만 하게 돼 있다는 지적이 나왔으나 관련 지침(국가 정보보안 기본지침 제26조·제28조)상 외부도 가능하다. 하지만 농진청은 외부 사무실에서 사태가 벌어진 만큼 앞으론 용역업체 업무 공간을 외부통신망 연결을 차단한 청내로 제한해 관리를 강화하기로 했다. 아울러 전용 보안서버를 구축해 정보 유출 가능성을 원천 차단하고, 업체의 보안 수칙 이행 실태 점검을 연간 2회 이상에서 분기별 1회 이상으로 늘리고 불시 점검도 진행한다.
해당 업체와의 용역계약은 현재도 유지되고 있는데, 원칙적으로 농진청 차원에서 계약 파기는 불가능해서다. 해당 업체에 대한 제재는 조달청의 부정당업자 제재 지정 방식으로만 진행할 수 있다. 조달청이 이 업체를 부정당업자로 지정하면 일정 기간 모든 공공기관이나 중앙행정기관에 입찰할 수 없도록 하는 방식이다. 조달청의 부정당업자 지정은 이달 안으로 확정될 것으로 보인다.
이번 해킹 사태의 1차 책임은 해당 업체다. 최근까지의 관련 보도를 보면, 농진청이 여전히 정보 유출 경위조차 파악하지 못하고 있다고 했으나, 이는 사실과 다르다. 지난 4월 10·25일 두 차례 걸쳐 발견된 정보 유출은 용역 계약이 끝난 건에 대해 업체가 농진청에서 받은 자료 일체를 반납·폐기해야 함에도 일부 자료를 무단 보유하다 해킹당하면서 발생했다. 농진청에 따르면, 업체는 하자보수 기간(계약 종료 뒤 1년)에 발생할 요청 업무를 쉽게 처리하기 위해 무단 보유했다. 그러나 계약 종료 뒤 자료 회수 과정에서 이를 잡아내지 못한 농진청도 정보 관리에 소홀했다는 비판은 피하기 어려운 게 사실이다.
해당 업체는 계약사항(자료 미보유 확약) 위반에 대한 위약금(계약금의 2%) 1억3820만원을 농진청에게 부과받고 지난 10월말 납부를 마쳤다.
농진청은 개보위 조사 결과에서 과징금·과태료를 부과받게 되면 해당 업체에 구상권을, 개인정보 침해사고 분쟁조정위원회 조정 결과에 따라서는 손해배상 청구도 검토하고 있다. 아울러 관련 후속조치로 필요 시 자체감사나 감사원 감사 청구 및 관련 직원에 대한 징계·권고 등 조치도 검토 중이다.
농진청은 재발 방지를 위해 사업 완료 시 자료 회수 및 파기 과정을 현장에서 직접 확인·처리하고, 노트북 등 휴대용 단말기 반출입 통제(사업관리담당과 정보보안담당 이중 점검, 사업 완료 시 자료 완전 삭제 뒤 반출)를 강화하기로 했다. 용역업체의 이메일 전송도 차단하며, 필요한 때 사업관리담당을 통해서만 보낼 수 있도록 했다. 용역사업 보안관리 및 ‘개인정보보호 관련 규정’을 개정하고, 위반한 업체에 대한 위약금 부과 기준도 높였다.
자료 무단 보유로 해킹사태를 초래한 해당 업체와의 용역 계약 건은 올해 안에 대부분 끝나지만 2026년까지인 계약 1건은 남아 있다. 문제를 일으킨 업체와의 계약이 유지 중인 만큼 농진청은 해당 업체가 사용하는 네크워크 일체를 관제하고 있으며, 강화한 보안조치를 빈틈없이 시행할 방침이다.