[디지털투데이 강진규 기자] 정부·공공기관을 대상으로 한 해킹 이메일 위협이 고조되고 있지만 여전히 보안의식이 미흡한 것으로 드러났다.

30일 정부 관계자들에 따르면 최근 정부·공공기관들은 악성코드 링크나 파일이 탑재된 이메일로 해킹을 당하는 상황을 우려해 모의 해킹 훈련을 실시했다. 모의 해킹 이메일은 정부·공공기관이 보낸 것으로 사칭하거나 최신 이슈에 관한 내용이었다.

그 결과 해킹 이메일을 다수의 인원이 열람하는가 하면, 열람하고도 신고조차 하지 않은 사례가 무더기로 적발돼 정부·공공기관의 보안 불감증이 위험수위에 달했다는 지적이다. 

A기관의 경우 이달 소속 공무원 300명을 대상으로 모의 해킹 이메일 훈련을 진행했다. 그런데 300명 중 45%인 135명이 의심메일을 열람했다. 열람 후 신고를 하지 않은 인원도 54명으로 전체 인원의 18%를 기록했다.

B기관은 지난 2월 1346명의 직원을 대상으로 모의 해킹 이메일 훈련을 진행했다. 대상 인원 중 약 15%인 205명이 의심메일을 열람했다. 이들 중 106명은 열람 후 신고도 하지 않았다. 전체 직원 중 약 8% 인원이 의심 이메일을 열람하고 신고도 하지 않은 것이다.

C기관의 경우 지난해 연말 518명의 직원을 대상으로 모의 해킹 이메일 훈련을 진행했는데 16%인 83명이 의심메일을 열람했다. 이중 36명, 즉 전체 인원 7%가 신고를 하지 않았다. 링크를 누른 직원도 4명이나 발생했다.

D기관은 지난해 하반기 200명의 직원을 대상으로 모의 해킹 이메일 훈련을 실시했는데 36%인 73명이 열람했고, 그중 전체 직원의 21%인 43명은 신고를 하지 않았다.

E기관은 지난해 여름 958명의 직원을 대상으로 모의 해킹메일 훈련을 진행했는데 514명이 열람을 했고 정보가 유출된 것으로 가정(링크 클릭이나 파일 다운로드)된 인원만 236명이었다. 이들 중 113명은 신고를 하지 않았다.

정부·공공기관들에서 10~40%까지 의심메일을 열람하고 있으며 열람 후 신고하지 않는 경우가 상당수 나타나고 있는 것이다.

해킹 이메일은 해커들의 대표적인 공격 방식 중 하나다. 2016년 발생한 인터파크 해킹 사건이 대표적이다. 해커는 인터파크 관계자에게 악성코드를 심은 이메일을 보내는 방식으로 공격했다. 지금도 공공기관이나 이슈를 사칭한 해킹 이메일이 적발되고 있다.

이런 피해를 막기 위해 정부에서는 공무원, 공공기관 직원 등을 대상으로 모의 해킹메일 훈련을 하고 있는 것이다. 그런데 이같이 아직도 보안의식이 미흡한 것으로 나타나고 있다.

이는 모의 해킹 이메일 훈련을 할 때 ‘모의해킹’이나 ‘훈련’이라는 문구를 빼고 실제처럼 훈련을 한 것이 영향을 준 것으로 보인다. 그러나 일부 기관에서는 사전에 직원들에게 모의 해킹 훈련을 한다고 공지를 했음에도 일부 직원들이 의심 이메일을 열람하고 신고도 하지 않았다. 각 기관들은 의심메일을 열람하거나 신고를 하지 않은 직원들을 대상으로 보안 교육을 실시한 것으로 알려졌다.

보안 전문가들은 교육과 훈력을 지속하며 보안의식을 높이는 방법뿐이라고 지적한다. 한 보안 전문가는 “허점이 드러난 만큼 모의 훈련을 지속적으로 실시하고 보안의식 교육을 강화해야 한다”고 말했다.