오송생명과학단지지원센터가 CCTV 시스템은 오작동하고, 사설 인터넷 접속이 허용되는 등 보안이 허술한 것으로 드러났다.
오송생명과학단지지원센터(이하 오송센터)는 보건복지부가 진행한 2018 종합감사에서 CCTV 시스템 및 용역업체 인터넷 보안관리 부적정으로 기관경고를 받았다.
오송센터는 시설 보안 및 안전, 화재 예방, 범죄 예방 등 청사 보안 관리를 목적으로 오송보건의료행정타운(이하 행정타운) 내·외부에 798대의 CCTV를 설치해 24시간 촬영하고 있다.
CCTV 영상정보의 보관기간은 30일이고, 중앙통제센터에서 영상정보를 조회하며 모니터링을 수행하고 있는데 개인정보보호법에 따르면 영상정보처리기기 운영자는 개인영상정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 해야 한다.
또 보건복지부 정보보안업무 세부지침(CCTV 시스템 보안관리) 및 ‘CCTV 시스템 보안관리방안’에 따르면 CCTV 등의 정상작동 여부 및 보안관리 상태에 대해 주기적인 점검을 실시하도록 하고 있다.
이에 오송센터 역시 CCTV의 정상 작동 여부에 대해 주기적인 점검을 실시하고 영상정보를 보관기간(30일) 동안 안전하게 보존해야 하지만 중앙통제센터에서 일부 CCTV의 영상정보 녹화 상태를 확인한 결과, 영상정보가 정상적으로 녹화되지 않은 사례가 확인됐다.
뿐만 아니라 통신실 인터넷 보안관리도 부적정한 것으로 드러났다. 보건복지부 정보보안업무 세부지침(제52조 용역사업 보안관리) 및 ‘외부 용역업체 보안관리 방안’에 따르면, 용역업체에서 사용하는 PC는 인터넷 연결을 금지하되 사업수행 상 연결이 필요한 경우에는 발주기관의 보안통제 하에 제한적으로 허용하고, P2P, 웹하드 등 인터넷 자료공유사이트로의 접속을 방화벽 등을 이용해 원천 차단하도록 하고 있다.
또 같은 지침(제23조 인터넷PC 보안관리)에 따르면 각 기관의 장은 인터넷PC에서 업무자료의 저장을 금지하기 위한 기술적·관리적 방안을 강구하도록 하고 있다.
반면 오송센터는 이번 감사에서 통신관리 용역업체직원이 근무하고 있는 중앙통제센터 내 통신실에 사설 인터넷을 연결한 PC 2대의 사용을 허용하고 있어 외부포털 상용메일 및 자료공유사이트로의 접속 차단 등 보안통제가 이루어지지 않은 것으로 드러났다.
또 인터넷PC 내에 ‘CCTV·출입통제·울타리감지장치 현황’ 등 업무자료가 저장되어 있어 PC 해킹이나 용역업체 직원들에 의한 통신업무 자료의 외부유출 위험이 있는 상황으로 확인됐다.
이에 보건복지부는 오송생명과학단지지원센터장에게 CCTV 시스템이 비정상적으로 작동되는 일이 없도록 CCTV 시스템 점검 업무를 철저히 수행하도록 ‘기관경고’하는 한편, 용역업체에서 불가피하게 인터넷 사용이 필요한 경우에는 보안통제 하에 제한적으로 허용하는 등 보안관리 방안을 마련하라고 ‘통보’했다.