[2025국감] 과기부 산하 연구기관 ‘최첨단 연구하면서, 보안은 구시대 수준’ 질타

2년 전 경고받고도 개선 없어…보안 전담조직 없는 연구기관도 다수

과학기술을 선도해야 할 국가 연구기관들이 정작 ‘기초 보안’부터 허술하다는 지적이 국회에서 쏟아졌다.

국회 과학기술정보방송통신위원회(위원장 최민희)는 24일 대전에 위치한 한국전자통신연구원(ETRI)에서 열린 국정감사에서 과학기술정보통신부 산하 한국연구재단, 한국항공우주연구원, 국가과학기술연구회(NST) 등 주요 연구 기관의 보안 관리와 해킹 대응 실태를 집중 추궁했다.

이날 의원들은 “민간 기업은 해킹이 발생하면 신속히 복구하고 피해자 통지를 진행하지만, 공공 연구기관은 사고 후에도 ‘점검 중’이라는 답변만 반복한다”며 “최첨단 기술을 연구하는 기관들이 기본 인증체계조차 제대로 작동하지 않는다”고 지적했다.

한국연구재단, 12만명 개인정보 유출…2년 전 경고 무시·망분리도 안 돼

의원들은 한국연구재단의 논문투고시스템 ‘잼스(JAMS)’ 해킹 사건을 먼저 지적하고 나섰다.

이상휘 국민의힘 의원이 제시한 자료에 따르면, 지난 6월 발생한 잼스 해킹 사고는 ‘비밀번호 찾기’ 기능의 취약점을 이용한 초보 수준의 단순한 공격이었지만, 결과적으로는 12만2954명의 개인정보가 유출됐다. 계좌번호·직장정보·이메일·휴대전화번호는 물론 주민등록번호 116건도 포함됐다.

이상휘 의원은 “지난 6월 12만명 이상의 개인정보가 유출된 잼스는 이미 2년 전부터 보안 취약성이 경고됐었다”며 “2023년 제83차 이사회 회의록에도 ‘보안전문가 상주 곤란’과 ‘취약점 대응 필요성’이 명시돼 있었는데 재단은 아무런 개선 없이 시스템을 그대로 운영해 왔다”고 비판했다.

이어 그는 “이사회에서 이미 해킹 가능성이 구체적으로 지적됐는데도 개선이 없었다. 결국 이번 사고는 예견된 인재”라며 “비밀번호 찾기 기능을 악용한 초보적 공격으로 주민등록번호까지 유출된 것은 국가 연구기관의 수준을 의심케 한다”고 꼬집었다.

더불어 이훈기 더불어민주당 의원은 한국연구재단의 기술적 관리 부실을 구체적으로 짚었다.

이 의원은 “작년 점검 당시 정부출연연구기관(이하 출연연) 24개 중 3곳만 망분리가 돼 있었고, 올해 재점검에서도 그대로였다”며 “17년 된 잼스 시스템은 URL 변조 같은 기초적 공격에도 취약하고 ‘다중인증(2FA)’이나 ‘정보보호 관리체계(ISMS)’ 인증도 없었다”고 지적했다.

이어 “재단은 지난해와 올해 연속으로 정보보호 실태평가에서 ‘미흡’ 판정을 받았고, 개인정보 유출 사고 법정 통지 시한 72시간 내에도 피해자에게 알리지 않았다”며 “정밀조사에서 유출 사실을 확인하고도 사흘간 ‘유출 없음’으로 보고했고, 통보도 이메일 위주라 8755명은 아직 유출 사실조차 모른다”고 비판했다.

이 의원은 “최근 5년간 출연연 9곳이 해킹을 당했고, ISMS 인증을 취득한 곳은 53곳 중 3곳뿐”이라며 “이런 상황에서 망분리 공백이 생기면 또 어떤 피해가 발생할지 모른다. 과기정부와 재단은 점검 중이라는 말로 책임을 피하지 말고 징계와 제도 개선을 즉시 추진해야 한다”고 강조했다.

이에 대해 홍원화 한국연구재단 이사장은 “국민과 연구자 여러분께 깊이 사과드린다”며 “잼스는 외국 연구자 접속 편의를 위해 외부망에 열려 있었던 만큼 보안상 취약점이 있었다. 현재 2단계 인증 도입과 시스템 전면 개편을 추진 중”이라고 해명했다.

그는 “해당 직원에 대한 징계는 이미 실시했고, 개인정보보호위원회 조사 결과에 따라 추가 조치를 취하겠다”며 “현재 재단의 망분리는 완료됐다”고 덧붙였다.

구혁채 과학기술정보통신부 제1차관은 “연구재단의 관리 과정에서 부족한 부분이 많았다”며 “국정원 및 산하기관과 협력해 사이버 대응 체계를 더 촘촘히 보완하겠다”고 답했다.

국가 핵심 연구망도 구멍…“보안평가 최하등급 반복, 사실상 방치”

조인철 더불어민주당 의원은 국가과학기술연구망 ‘크레오넷(CREONet)’의 보안 관리 부실을 정면으로 지적했다. 크레오넷은 한국의 대학, 연구소, 공공기관을 연결하는 국가 연구망이다. 첨단 인터넷 기반에서 슈퍼컴퓨팅, 네트워킹 자원, 데이터베이스 등 연구에 필요한 다양한 기술과 서비스를 제공하여 국내 연구 활동을 지원한다.

조 의원은 “과기정통부 산하 연구기관 대부분이 사이버 위협의 최전선에 있으면서도 기초 보안이 뚫려 있다”며 “이대로라면 연구데이터뿐 아니라 국가기밀 자료까지 새나갈 수 있다”고 경고했다.

이어 “과기정통부 ‘정보보호 기본지침’에 따르면 32개 산하기관 모두 전담 보안조직을 둬야 하지만, 실제로 이를 완비한 곳은 단 한 곳도 없다”며 “특히, 국가과학기술연구원(NST) 산하 23개 출연연에서 최근 10년간 탐지된 사이버 공격이 2776건, 올해(1~8월)에도 200건 이상 발생했다. 그런데도 기관당 전담 인력은 1~2명 수준이고, 보안 담당자가 한 명도 없는 곳도 있다”고 지적했다.

또 “일부 기관은 정보보호 평가에서 3~4년 연속 최하등급(미흡)을 받았는데도 과기정통부는 개선 권고만 반복했다”며 “감사나 예산 제재 같은 실효적 조치가 전혀 없다”고 비판했다. 아울러 “지난 8월 과기정통부가 ‘정보보호 기본지침’을 개정하면서 전담조직 요건을 완화했다”며 “보안을 강화해야 할 시점에 기준을 낮춘 건 이해할 수 없다”고 덧붙였다.

이에 구혁채 차관은 “지적에 전적으로 공감한다”며 “소규모 기관의 현실적 제약을 고려하되, NST 중심 통합 보안관제 확대와 상시 모니터링 체계 강화를 추진하겠다”고 답했다.

최민희 위원장은 한국항공우주연구원의 해킹 늦장 대응을 지적했다. 그는 이상철 한국항공우주연구원 원장을 상대로 “기관장이 해킹 사실조차 모르고 있었다는 건 심각한 문제”라며 강하게 질책했다.

최민희 위원장이 제시한 자료에 따르면, 한국항공우주연구원은 최근 연구 관련 시스템에서 외부 접속 시도가 감지됐으나, 내부 보고와 대응 절차가 제대로 이뤄지지 않은 것으로 확인됐다. 최 위원장은 “기관의 대응 매뉴얼과 보고 체계부터 다시 점검하라”고 지시했다.

“연구기관 보안은 곧 국가 경쟁력”…보안 체계 강화·예산 확대 촉구

이날 국정감사에서는 개별 기관의 해킹 사고를 넘어, 국가 연구기관 전반의 보안 체계와 투자 구조를 근본적으로 재점검해야 한다는 목소리가 이어졌다. 의원들은 “연구 데이터와 기술 정보는 곧 국가 자산이며 이를 지키지 못하면 기술 주권도 없다”며 “정부가 예산과 인력을 포함한 보안 관리 체계를 법으로 강화해야 한다”고 목소리를 모았다.

이상휘 국민의힘 의원은 “올해는 대한민국이 탈탈 털린 해”라며 “내년엔 틀릴 게 없는 대한민국이 될 수도 있다. 지금부터 기민하게 움직이지 않으면 사이버 안보 붕괴는 시간문제”라고 경고했다.

이어 그는 “민간과 공공기관을 막론하고 해킹 사고가 반복되는데도 대응은 여전히 ‘점검 중’에 머물러 있다”며 “공공기관 해킹 대응의 신속·투명 원칙을 법제화하고, 각 기관의 보안조직 운영을 실효적으로 관리해야 한다”고 지적했다.

조인철 더불어민주당 의원은 “보안평가 결과를 기관 경영평가에 직접 반영해야 한다”며 “대부분 출연연의 보안 인력이 1~2명에 불과하고, 전담조직조차 없는 기관이 많다. 보안 인력과 예산의 구조적 확충이 필요하다”고 강조했다.

김현 더불어민주당 의원도 “전담조직 설치를 의무화하고, 보안 예산을 연구비 일부로만 충당하는 현 구조를 바꿔야 한다”고 지적했다. 그는 “보안은 비용이 아니라 필수 인프라”라며 “해킹 사고에 대한 직권조사 권한과 피해자 통지 절차를 법적으로 명문화해야 한다”고 덧붙였다.

이에 구혁채 차관은 “출연연 대부분이 예산과 인력 제약으로 보안 전담조직을 제대로 꾸리지 못하고 있는 것이 현실”이라며 “연구기관 해킹사건 직권조사 권한 법제화, 전담조직 의무화, 보안 예산 지원 확대를 포함한 제도 개선안을 검토 중”이라고 밝혔다.