국정원, 152개 국가·공공기관 사이버보안 실태평가…우수 32곳·미흡 6곳

국가정보원(원장 이종석, 이하 국정원)은 중앙부처와 광역지방자치단체, 공공기관 등 152개 국가·공공기관을 대상으로 실시한 ‘2025년도 사이버보안 실태평가’ 결과를 5일 발표했다. 평가 결과, ‘우수’ 등급 기관은 32곳, ‘보통’은 114곳, ‘미흡’은 6곳으로 집계됐다.

이번 실태평가는 ‘사이버안보업무규정’ 제13조에 따라 정부업무평가 대상 중앙부처 48개, 광역지자체 17개, 공공기관 87개 등 총 152개 기관을 대상으로 현장 실사를 통해 진행됐다. 국정원은 각 기관의 보안관리 체계와 운영 실태, 사고 대응 역량 등을 종합적으로 점검했다고 설명했다.

평가 결과, 한국지역난방공사 등 32개 기관이 ‘우수’ 등급을 받았다. 이는 전년도 29개 대비 3개 늘어난 수치로, 국정원은 해당 기관들이 취약점에 대한 지속적인 점검과 개선 노력을 적극적으로 전개한 점을 긍정적으로 평가했다.

특히 한국토지주택공사와 한국석유관리원은 사이버보안 전담조직을 확대하고 용역사업장 보안관리를 강화하는 등 조치를 통해 2024년 ‘보통’ 등급에서 2025년 ‘우수’ 등급으로 상향됐다.

광역지자체 가운데 ‘우수’ 등급을 받은 기관은 2024년에 이어 2025년에도 없었다. 중앙부처 역시 2024년 3곳이 우수 등급을 받은 것과 비교해 2025년에는 한 곳도 받지 못했다. 국정원은 중앙부처의 경우 비인가 IT 기기에 대한 통제가 미흡했던 점이 주요 원인으로 작용했다고 분석했다.

‘미흡(60점 이하)’ 등급으로 평가된 기관은 방송미디어통신위원회, 소방청, 우주항공청, 재외동포청, 서울특별시, 충청남도 등 6곳이었다. 공공기관 가운데 ‘미흡’ 등급을 받은 곳은 없었으며, 중앙부처와 광역지자체에서만 발생했다.

방송미디어통신위원회는 2024년 ‘보통’ 등급에서 2025년 사이버보안 전담인력과 관리역량 부족 등의 사유로 ‘미흡’ 등급으로 하락했다. 소방청과 재외동포청, 서울특별시, 충청남도는 2024년에 이어 2년 연속 ‘미흡’ 등급으로 평가됐다.

국정원은 소방청과 재외동포청의 경우 기관 전반에서 사이버보안에 대한 관심이 낮고 개선 노력이 충분히 이뤄지지 않았다고 설명했다. 서울시는 전담조직 신설 등 일부 개선된 부분이 있었으나 시스템 규모에 비해 인력이 부족해 보안관리가 미흡했던 점이 지적됐다. 충청남도는 전년도에 확인된 주요 취약점에 대한 보안조치가 충분히 이행되지 않은 점이 문제로 꼽혔다.

아울러 다수 기관이 2025년 발생한 국가정보자원관리원 화재와 같은 실제 상황을 가정한 훈련을 형식적으로 수행하고 있는 것으로 나타났다. 특히 중앙부처의 경우 백업과 복구 대책을 국가정보자원관리원에 전적으로 의존하고 있는 실태도 함께 확인됐다.

국정원은 이러한 평가 결과를 토대로 2026년도 사이버보안 실태평가에서 ▲재해복구시스템 구축 여부 ▲실전 복구훈련 실시 ▲주요 시스템에 대한 비인가자 접근통제 등을 중점적으로 점검할 계획이라고 밝혔다. 실태평가 결과는 정부업무평가에 반영될 수 있도록 행정안전부와 기획재정부에 지원된다. 아울러 사이버보안 역량 강화를 위해 공공기관 경영평가에서 ‘사이버보안 실태평가’ 배점도 기존 0.25점에서 0.6점으로 대폭 상향됐다.

국정원 관계자는 “국가·공공기관의 보안관리 수준과 역량을 있는 그대로 정확하게 평가하고, ‘미흡’ 등급 기관을 대상으로 종합적인 보안 컨설팅을 지원하는 등 내실 있는 사이버보안 실태평가를 만들어갈 것”이라며 “제반 문제점을 선제적으로 개선해 국가 전체의 보안 수준이 향상될 수 있도록 지속적으로 노력하겠다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network