[로이슈 전여송 기자] 지난 9월 국가정보자원관리원 화재로 국가적 '디지털 재난' 위기감이 고조된 가운데, 해양환경공단(이사장 강용석)의 보안 의식은 여전히 바닥 수준인 것으로 드러났다. 필수 데이터 백업이 누락되고 불법 소프트웨어를 무단 설치하는 등 보안 기강이 총체적으로 무너진 모습이다. 이번 사태의 책임에서 자유로울 수 없는 강용석 이사장에게 고강도 쇄신책 마련이 시급하다는 지적이다.

1일 알리오 경영공시에 따르면 해양환경공단의 '2025년 개인정보 및 보안관리 실태 특정감사' 결과, 공단 임직원들의 보안 규정 위반 사례가 다수 적발됐다.

가장 눈에 띄는 점은 해이해진 근무 기강이다. 해양수질처 등 7개 부서에서는 업무용 PC에 업무와 무관한 '카카오톡' 메신저와 '웹툰 뷰어' 프로그램을 설치해 사용해 온 것으로 나타났다. 심지어 라이선스를 구매하지 않은 공학 및 과학용 소프트웨어 'MATLAB R2021b'를 무단으로 설치해 저작권법 위반 소지까지 남겼다.

특히 인사시스템(ERP) 권한 관리 부실은 심각한 수준이다. 2020년 수립한 '1부서 1인 권한 부여' 원칙을 깨고 부서당 3명 이상에게 권한을 남발했으며, 이로 인해 권한을 가진 담당자가 마음만 먹으면 전 직원의 주민등록번호와 주소가 적힌 '근로계약서'를 통째로 열람할 수 있는 상태였다.

데이터 소실에 대비한 '소산(원격지 백업)' 정책도 유명무실했다. 공단은 2017년부터 중요 데이터를 외부로 소산하고 있다고 밝혔으나, 감사 결과 2021년도 소산 작업이 아예 누락된 사실이 뒤늦게 드러났다. 이 기간 중 시스템 장애가 발생했다면 데이터 복구가 불가능한 '대형 참사'로 이어질 뻔한 셈이다. 소산 장소의 보안 대책 또한 일반 전산실 수준에 머물러 있어 보완이 시급하다는 지적을 받았다.

이번 감사에서 데이터 소실 위험과 저작권법 위반 등 중대 과실이 확인됐음에도 불구하고, 공단 감사실은 관련 부서에 '주의'나 '시정' 조치만 내렸을 뿐 신분상 징계는 단 한 명도 하지 않아 '솜방망이 처분'이라는 비판을 피할 수 없게 됐다.

한 정보보안 업계 관계자는 "국가적 '디지털 재난' 위기 속에서 백업 누락과 같은 치명적 허점이 방치된 것은 단순 실수를 넘어선 구조적 문제"라고 꼬집으며, "강용석 이사장이 직접 나서서 조직 전반의 안이한 보안 의식을 뿌리 뽑을 특단의 대책을 내놓아야 한다"고 강조했다.

전여송 로이슈(lawissue) 기자 arrive71@lawissue.co.kr