“NIA 직원, 비공개 자료 380회 유출”…보안 통제 부실 논란 확산

한국지능정보사회진흥원(NIA) 소속 직원이 기관의 핵심 비공개 문건을 민간업체에 무단 유출한 사실이 뒤늦게 드러나면서, 국내 국가 데이터 관리 체계와 정보보호 인프라에 대한 우려가 커지고 있다. 데이터 기반 행정과 디지털 정부 패러다임이 확산하는 가운데, NIA처럼 국가 데이터의 결절점 역할을 하는 기관에서 반복적이고 체계적인 기밀 자료 반출이 3년 넘게 파악되지 않았던 점은 산업계의 신뢰 기반에 중대한 타격을 줄 수 있다는 지적이 나온다. 이번 사건은 IT·바이오 등 국내 데이터 생태계 전반의 정보보호 경쟁의 분기점이 될 전망이다.

NIA와 국회 과학기술정보방송통신위원회에 따르면 소속 직원 A씨는 2022년부터 2025년 2월까지 총 380회에 걸쳐 내부 비공개 문건을 외부 민간기업 관계자에게 이메일로 전송했다. 주요 유출 자료에는 사업 심의 문서, 경영회의 내부 자료, 평가위원 명단 등 의사결정의 핵심 정보가 포함됐으며, 대부분 외부 반출이 엄격히 제한된 등급의 데이터였다. 감사 과정에선 수신자 이메일 주소를 잘못 입력해 재전송한 정황도 포착됐다. 감사반은 “전자문서 반출 행위가 반복적·의도적으로 이뤄진 점에서 고의성을 배제하기 어렵다”고 판단했다.

핵심 기술인 내부 문서보호 시스템의 결함과 통제망의 미작동이 문제점으로 꼽힌다. 기존 정보보호 시스템은 이상거래, 대량 첨부파일 전송 등을 자동 탐지해 비인가 유출을 차단해야 하지만, 이번 사건은 3년간 사실상 무력화됐다. 전문가들은 “디지털 전환 시대의 국가 데이터는 플랫폼화된 사회 인프라와 같은 만큼, 의도적 정보 유출 시 파급효과가 크고 산업·연구·정책 전반에 부담을 줄 수 있다”고 해석한다.

이번 사안은 단순한 문서 전달을 넘어 심층적 관리·감독의 실패와도 직결돼 있다. NIA는 올해 1월까지 유출 사실을 인지하지 못했으며, 내부 보안 시스템의 장기 적신호를 보여줬다. 외부 수신자는 실제 민간업체 소속인 것으로 확인됐고, 경찰은 금품 수수 등 대가성 의혹 여부까지 수사하며 망라적 조사를 진행 중이다.

글로벌 ICT 선진국에서는 비슷한 데이터 유출에 대해 미국 CISA, 유럽 GDPR 등 강력한 데이터 규제를 적용하고 데이터거래·유통에 대한 실시간 모니터링 시스템을 운용중이다. 이에 비해 국내는 공공기관 보안관리 실태, 내부자 위협 탐지, 보안 감사 체계의 실효성 등을 강화해야 한다는 목소리가 나온다.

정책적 측면에서도 논란이 이어진다. 데이터 독점권, 접근권 한계를 경계하기 위한 제도적 장치뿐 아니라 임직원 정보윤리와 내부 고발자 보호체계 등 실효성 있는 인프라가 필요하다는 의견이 힘을 얻는다. 최민희 과방위원장은 “디지털 정부 핵심기관에서 고의적 정보유출이 장기간 반복된 것은 기관 보안관리 시스템이 사실상 마비된 것과 같다”며 철저한 수사와 추가 대책 마련을 촉구했다.

업계는 향후 공공데이터 투명성과 보안 신뢰 등이 재정립되지 않을 경우, 오픈데이터와 융합산업 활성화 기반까지 흔들릴 수 있다고 보고 있다. 산업계는 이번 사건이 실제 시장 신뢰를 회복하는 분기점이 될지 주시하는 분위기다.