과학기술정보통신부 산하 정보통신기획평가원(IITP)의 개인정보접속기록관리 시스템이 해킹됐다. 지난해 말 직원 개인정보 유출 사고 이후 7개월 만이다. 국가 ICT R&D(연구개발) 관리기관임에도 보안 관리 체계가 부실하다는 지적이 나온다.
15일 관련 업계에 따르면 IITP는 지난 6일 개인정보접속기록관리 시스템이 외부 공격을 받은 사실을 확인하고 개인정보 유출 여부와 범위를 조사 중이다. 최근 과기정통부 보안 점검 이후 시스템 유지·보수 과정에서 방화벽 설정을 '차단'이 아닌 '허용'으로 잘못 입력한 것이 사고 원인으로 알려졌다.
IITP는 올해 총 1조8996억원 규모의 국가 ICT R&D 예산을 관리하는 기관으로 대학과 기업, 연구기관 연구자들의 개인정보와 연구과제 정보를 보유하고 있다. 지난해 12월에도 APT(지능형 지속 공격)로 직원 개인정보 일부가 유출되는 사고를 겪은 바 있다.
현재 IITP는 포렌식과 접속 로그 분석을 통해 연구자 개인정보와 데이터베이스(DB) 유출 여부를 확인하고 있다.
IITP 관계자는 "해킹 사실을 확인한 뒤 개인정보보호위원회에 신고를 완료했다"며 "로그 분석 등을 통해 어떤 정보가 유출됐는지 조사 중"이라고 말했다.