방송미디어통신위원회, 우주항공청, 소방청, 재외동포청, 서울특별시, 충청남도 등 6개 기관이 국가·공공기관 사이버보안 실태평가에서 '미흡' 평가를 받았다.
국가정보원은 중앙부처, 광역지방자치단체, 공공기관 등 152개 국가·공공기관에 대한 사이버보안 현장 실사를 진행한 '2025년도 사이버보안 실태평가' 결과를 통해 5일 이같이 밝혔다.
우수 등급을 받은 곳은 한국지역난방공사, 한국전력거래소 및 남동·동서·남부·서부발전 등 32곳으로 전년(29곳) 대비 3개사 늘었다. 이들 기관들은 취약점 지속 점검과 개선 등 노력을 적극 전개했다는 평가를 받았다.
특히 한국토지주택공사, 한국석유관리원은 사이버보안 전담 조직 확대와 용역 사업장 보안관리 개선 등에 힘써 2024년도 '보통'에서 이번에 '우수' 등급으로 상향됐다. 중앙부처 중 우수등급 기관은 2024년 3곳에서 이번에 0곳으로 줄었다. 비인가 IT기기 통제 미흡 등이 원인이었다.
114곳의 기관이 '보통' 평가를 받았다. 중앙부처 중에서는 과학기술정보통신부, 개인정보보호위원회 등 44곳에 이르는 정부부처가 '보통' 평가를 받았다. 공공기관 중에서는 예금보험공사, 한국수자원공사, 한국인터넷진흥원, 한국전력공사, 한국무역보험공사, 한국지능정보사회진흥원 등 55곳이 '보통' 평가를 받았다.
방미통위는 2024년에는 '보통' 등급이었지만 2025년 평가에서는 사이버보안 전담인력 및 관리역량 부족 등 이유로 '미흡' 등급으로 하락했다. 소방청·재외동포청과 서울시·충남도는 2년 연속으로 '미흡' 등급을 받았다. 국정원은 소방청·재외동포청에 대해 "기관 전체적으로 사이버보안에 대한 관심이 부족하고 개선 노력도 미흡했다"고 지적했다.
서울시는 전담조직 신설 등 개선된 부분이 있었지만 시스템 규모 대비 인력이 부족하고 보안 관리가 미흡하다는 점이, 충남도는 2024년 확인된 주요 취약점에 대한 보안조치가 부실했던 점이 미흡 평가의 원인으로 지목됐다.
국정원은 "많은 기관들은 2025년 발생한 국가정보자원관리원 화재와 같은 실제 상황 대비 훈련을 형식적으로 수행하고 있었다"며 "특히 중앙부처는 국가정보자원관리원에 백업·복구대책에 전적으로 의존하고 있었다"고 지적했다.
국정원은 2026년 실태평가시 재해복구 시스템 구축과 실전 복구 훈련, 주요 시스템 비인가자 접근 통제 등을 집중 확인한다는 방침이다. 실태평가 결과는 정부업무 평가에 반영하도록 행정안전부, 기획재정부에 제공된다. 공공기관 경영평가시 '사이버보안 실태평가' 배점도 기존 0.25점에서 0.6점으로 상향됐다.