[단독] 2년 만에 또…기상청, 개인메일 쓰다 15명 정보 샜다

기상청 로고. 자료 기상청

지난 4월 기상청에서 개인정보, 연구 내용 등이 외부로 유출되는 사고가 발생한 사실이 뒤늦게 드러났다. 한 직원이 서류를 암호화하지 않은 파일을 외부인의 개인 e메일로 보내면서 문제가 생겼다. 2년 만에 비슷한 사례가 반복되면서 정부 부처의 정보보안 관리가 강화돼야 한다는 지적이 나온다.

16일 더불어민주당 노웅래 의원실에 따르면 3월 10일 기상청의 한 부서는 외부 용역 업체로부터 받은 제안서를 외부 평가위원에게 전달했다. 해당 제안서 평가는 이틀 뒤 마무리됐다. 하지만 이로부터 3주가량 지난 4월 5일, 생각지 못한 해킹 사고가 발생했다. 외부 평가위원의 e메일에 신원 미상의 제3자가 접속했고, 여기에 첨부된 파일도 열어본 것으로 나타났다. 이 파일엔 연구용역 제안 내용과 함께 제안 참여자 13명, 제안사 직원 2명의 이름·주소·경력·주민등록번호(2명) 등 개인정보가 고스란히 담겨 있었다.

사고의 직접적 원인은 보안의식 미비에 있었다. 기상청의 정보보안 기본지침은 '상용 메일 등을 통한 중요 자료 무단 소통'을 정보보안 사고로 규정한다. 하지만 기상청 직원 A씨는 외부 평가자의 개인용 네이버 e메일로 내부 자료가 담긴 파일을 전송했다. 별도의 암호화 조치도 전혀 안 한 상태였다.

서울에 있는 기상청에서 열린 화상 회의 모습. 뉴스1

민감한 정보가 누군가에 흘러나갔지만, 기상청은 사실 파악도 제대로 못 했다. 이러한 정보 유출 정황은 4월 28일 국가사이버안보센터 모니터링으로 뒤늦게 확인됐다. 유출 사실을 전달받은 기상청은 통보 다음 날 대응팀을 꾸렸다. e메일 수신자 메일함에서 해당 파일을 아예 삭제하고, 개인정보 피해자들에겐 '유출 주의 요청' 문서를 보냈다.

기상청에선 2년 전에도 비슷한 정보유출 사건이 있었다. 2019년 기상청이 구축한 기후변화 예측 프로그램의 설계도인 '소스코드'가 9차례나 외부에 유출된 것이다. 이와 함께 기상청 직원 10명, 외부인 30명 등의 개인정보가 네이버 블로그에 올라갔다. 유출 원인은 용역 업체에 있었다. 당시 용역 업체가 기상청 백업 서버에 원격으로 접속해 내부 정보를 내려받았다. 하지만 기상청은 국가정보원이 잘못을 발견하기 전까지 알지 못했다고 한다.

지난 4월 기상청의 개인정보 유출 대응 경과가 담긴 파일 중 일부. 자료 노웅래 민주당 의원

기상청은 지난해 자체 정보보안 감사에서 비공개 자료 관리를 강화해야 한다는 지적 사항을 전 부서에 전달했다. 하지만 노웅래 의원실에 따르면 기상청 직원 정보보안 교육 이수율은 2018년 63%, 2019년 61%, 2020년 54%로 해마다 내려가고 있다. 조직 바깥의 거듭된 지적과 자체 감사 등이 무색하게 비슷한 사고가 반복되는 것이다.

이에 대해 기상청은 "직원이 외부로 메일을 보낼 때 실수로 규정을 어긴 사실이 있다"며 정보 유출 사실을 인정했다. 기상청 관계자는 "지난 4월 사고 사실을 알자마자 적절한 절차에 따라 피해자들에게 필요한 조치를 취하고, 직원들도 새로 교육했다"면서 "기상청은 평소 국정원의 개인 정보 보호 평가에서 평균 이상의 점수를 받고 있다. 앞으로 유출 사고가 반복되지 않도록 주의를 기울이겠다"고 덧붙였다.

노웅래 의원은 "해킹된 연구용역 자료는 해당 기술의 설계도에 해당하는 매우 중요한 자료다. 그런데도 기상청은 누가, 어떤 목적으로 탈취했는지조차 제대로 파악하지 못하고 있다"고 지적했다. 노 의원은 "수사 기관을 통해 사건의 진상을 밝히고 기상청 직원 전체에 대한 보안교육 실시 등 재발 방지를 위한 특단의 조치가 시급하다"고 강조했다.