과기부 감사… 보안 점검 없어
올해 1월부터 운영된 범부처 통합연구지원시스템(IRIS)이 해킹 테스트 등 사이버 보안 대책을 제대로 마련하지 않은 채 시작된 것으로 뒤늦게 밝혀졌다. 과학기술정보통신부가 한국과학기술기획평가원(KISTEP)을 대상으로 실시해 최근 발표한 종합 감사 결과에 따르면 IRIS 구축 사업을 추진한 KISTEP은 보안 사안들에 대한 점검 없이 이 시스템을 운영했다. 사업 수행계획서에 따라 외부 보안 전문가를 투입해 개인정보 영향평가와 SW보안 약점 진단, 모의해킹, 보안 취약점을 점검해야 하는데 이를 지키지 않은 것이다. 공공기관 해킹 위협이 증가하는 상황에서 사업수행 관리를 소홀히 했다는 지적이 나온다.
IRIS는 부처와 전문기관별로 각기 다른 연구과제 관리규정과 시스템에서 오는 불편, 비효율성을 막기 위해 마련된 시스템이다. 문재인 정부의 국정과제인 ‘연구자 중심의 연구개발(R&D) 관리시스템 혁신’의 일환으로 2017년 6월부터 범부처 프로젝트로 추진해 오다 지난해 11월 시범 운영을 거쳐 올해 1월부터 공식 운영되고 있다.
과기정통부는 ‘주의’ 조치를 내리고 보안 약점 진단이 실시될 수 있도록 이행 관리를 철저히 하라고 KISTEP에 통보했다.
고재원 동아사이언스 기자 jawon1212@donga.com
조승한 기자 shinjsh@donga.com