11조원 규모의 자금을 운용하는 중소벤처기업부 산하 한국벤처투자에 정보보안 전담 조직이 전무한 것으로 나타났다. 각종 중소·벤처기업 연구 데이터를 보유한 중소기업벤처연구원도 마찬가지다. SK텔레콤·KT·롯데카드 등 대기업마저 해킹사태에 연달아 휘말린 가운데 이들 기관의 보안 취약점이 영세 규모 기업의 피해 위험을 키우고 있다는 지적이 나온다.
29일 김한규 더불어민주당 의원이 중소벤처기업부에 제출받은 '정보보안 감사 결과 보고' 자료에 따르면 중기부는 지난 4월부터 6월까지 소속 지방청(13개)·국립공고(3개)·산하기관(11개)을 대상으로 보안 감사를 실시했다. 내달 있을 국가정보원 정보보안 평가를 대비해 인력·조직·기술·대응 훈련 등 41개 항목을 기준으로 보안 실태를 따졌다.
감사 결과 한국벤처투자와 중소벤처기업연구원은 정보보안 전담 조직이 없었다. 한국벤처투자는 스타트업·벤처기업 등의 투자 활성화를 돕는 모태펀드의 운용 기관이다. 누적 조성 자금은 중기부·문화체육관광부·과학기술정보통신부 등 10개 부처의 재정 출자를 바탕으로 10조9063억원에 이른다.
한국벤처투자는 막강한 자금력을 바탕으로 운용사, 민간 출자자, 투자기업의 계약서·재무 정보·투자전략 등을 다량 보유하고 있어 정보보안이 중요한 기관으로 꼽힌다. 하지만 전담 조직 부재와 함께 서버 관리자의 접근통제 미흡, 내·외부망 정보시스템 취약점 발견 등 부실 사항이 다수 적발됐다.
중소기업 통계, 창업 동향, 벤처 투자 현황 등을 조사하고 연구하는 중소벤처기업연구원 역시 지적 사항이 많았다. 전담 조직 부재와 함께 자체 점검·보안 감사 실적과 사이버공격 대응 훈련 실적이 전무한 것으로 확인됐다. 서버 관리자의 접속용 단말기에 보안 조치가 제대로 되어 있지 않고, 휴대용 저장매체 관리도 미흡했다.
이밖에 소상공인시장진흥공단·중소벤처기업진흥공단 등에서 내부·외부망 분리 부실이 드러났고, 창업진흥원·신용보증재단중앙회 등엔 보안 취약 서비스가 사용된 것으로 나타났다. 중기부 산하 1·2급 지방청들엔 용역 사업 보안대책이 일부 이행되지 못했거나 정보보안 교육 참석률이 저조한 경우가 다수였다. 산하 국립공고 중에선 전북기계공고가 보안 운영이 중단된 예전 운영체제를 쓰다가 지적받았다.
중기부 측은 감사 결과를 바탕으로 충분한 보완 작업을 벌였다는 입장이다. 중기부 관계자는 "감사 작업은 컨설팅 성격도 띠고 있다"며 "중기부 전문 조직인 사이버안전센터를 통해서 미흡 사항에 대한 대비를 돕고 예산 투입도 유도해 보안 방비책을 꾸리고 있다"고 설명했다.
김한규 의원은 "중기부 산하 지방청과 기관은 기업들의 사업 계획서·기술 및 특허 정보·재무 상황 등을 보유하고 있어 해킹 대응 능력이 오히려 더 높아야 하지만 현실은 반대인 셈"이라며 "특히 조단위 금액을 운용하는 한국벤처투자나 연구 데이터가 많은 중소벤처기업연구원이 전담 조직조차 갖추지 못한 것은 산업 생태계의 위협 요소"라고 말했다.
이시은 기자 see@hankyung.com
관련뉴스
