한국연구재단의 논문투고시스템은 올해 6월 6일 새벽에 해킹 공격을 받아 12만명의 개인정보가 유출됐다. 국회 과학기술정보방송통신위원회 이훈기 의원(더불어민주당, 인천 남동을)은 정부출연연구기관(출연연) 국정감사에서 한국연구재단 해킹과 보안 부실을 강하게 질타했다.

이훈기 의원은 “지난해 국감에서 출연연 기관들의 망분리 문제를 지적했었는데 아직도 24개 기관 중 세 곳만 망분리가 돼 있고 나머지는 그대로”라며 “결국 한국연구재단 논문투고시스템 해킹으로 12만명 정보가 유출됐고, 그 가운데 1559명이 자신의 뜻과는 무관하게 특정 학회에 무단 가입되는 사태까지 발생했다”고 지적했다.

한국연구재단의 논문투고시스템은 구축된지 17년이 됐지만 단 한 차례도 재구축하지 않았다. 그로 인해 URL 파라미터 변조 같은 초보적인 작업만으로 해킹을 당했다. 재단 시스템은 이중 인증도 없고 ISMS 인증도 미취득, 정보보호 관리실태 점검은 지난해와 올해 연속 2년 동안 ‘미흡’ 수준에 그쳤다. 이 의원은 재단의 이번 해킹 사태가 ‘예견된 사고’임을 꼬집었다.

이 의원은 특히 통지 지연과 미통보 문제를 거론하며 “유출 통지는 법정 72시간 이내가 원칙인데 2차 정밀조사 때도 사흘간 ‘유출 없음’으로 보고했다”며 “이메일만 보내다가 15일 뒤에야 문자 통지를 했고, 결국 연락이 닿지 않은 8755명은 유출 사실을 알지 못할 정도로 너무 엉성하고 엉망이었다”고 질책했다.

이 의원은 과학기술정보통신부를 상대로 “지난해 국감에서 출연연 보안 문제와 관련해 여러 문제를 지적했는데 하나도 개선이 안 되고 있다”며 추궁했다. 이에 대해 구혁채 과기정통부 차관은 “부족한 부분이 많았다”며 “국정원 및 산하 기관 간 사이버 공격 대응 체계를 운영 중이며, 의원 지적 사항을 더 챙겨보겠다”고 답했다.

한국연구재단을 향해 이 의원이 “해킹 관련 책임자 징계가 있었나”라고 물었다. 홍원화 이사장은 “책임자에 대해 1차 징계를 내렸다”며 “개인정보보호위원회 조사 결과와 함께 더 엄하게 조치하겠다”고 밝혔다.

이 의원은 전수 점검 결과를 근거로 “ISMS 인증은 53곳 중 3곳뿐이고, 망분리는 작년과 다름없이 24곳 중 3곳”이라며 “2027년에나 본격 확산된다면 올해와 내년은 사실상 공백”이라고 경고했다.