T월드ㆍ크레딧뱅크, 전송구간 암호화 미적용 '논란'

2014-03-10 10:39
SK텔레콤 T월드 NICE평가정보 크레딧뱅크 '주민번호' '비밀번호' 반쪽 암호화

아주경제 장윤정 기자 = 홈페이지 해킹으로 1200만명이라는 대규모 개인정보 유출사고를 발생시킨 KT에 이어 SK텔레콤, NICE평가정보에서 인터넷조회 시스템 보안을 허술하게 적용, 논란이 되고 있다. 

SK텔레콤이 자사 T월드(www.tworld.co.kr)에 로그인 시 비밀번호에 대해 전송구간 암호화 조치를 취하지 않은 것으로 밝혀졌기 때문이다. NICE평가정보의 크레딧뱅크(http://www.creditbank.co.kr/)도 주민번호와 비밀번호에 대해 전송구간 암호화를 적용하지 않은 것으로 나타났다. 

전송구간 암호화는 사용자와 홈페이지간 주고받는 데이터를 보호해 해킹 등을 막는 가장 초보적인 보호장치다. 

이번 KT 해킹이 초보적인 해킹 도구로 어이없이 뚫렸듯이 기본을 갖추지 못한다면 언제라도 엄청난 보안사고로 연결될 수 있다며 관련 전문가들은 SK텔레콤의 보안 강화를 촉구했다. 

정보화사회실천연합은 10일 SK텔레콤 T월드, NICE평가정보 크레딧뱅크 홈페이지에서 전송구간 암호화가 적용되지 않았다고 밝혔다. 

손영준 정보화사회실천연합 대표는 "최근 발생한 2건의 대형 개인정보유출사건에도 불구하고 SK텔레콤의 T월드와 NICE평가정보의 크레딧뱅크에서 로그인시 '보안접속' 체크박스를 해제하고 로그인을 시도했더니 T월드는 '비밀번호'를, 크레딧뱅크는 '주민번호', '비밀번호'에 대해 전송구간 암호를 하지 않는 것이 확인됐다"고 말했다.
 

패킷 분석 도구인 와이어샤크(Wireshark)를 사용해 확인한 T월드 보안접속 해제 화면


정보화사회실천연합은 로그인 시 주민번호, 비밀번호의 암호화 처리는 사용자의 선택에 의해 보안기능을 제공하는 기능이 아니라 서비스 제공자가 반드시 준수해야 하는 안전성확보조치 사항으로 보안을 위한 필수적인 의무라고 강조했다. 

손 대표는 "이 부분이 보안 상 문제가 될 것이 없다고 생각할수도 있지만 보안은 작은 틈으로 인해 큰 사고가 발생한다"며 "이와 같은 문제를 단순한 실수로 여기며 소홀히 한다면 이는 보안의식에 대한 각성이 필요한 사항"이라고 말했다. 
 

패킷 분석 도구인 와이어샤크(Wireshark)를 사용해 확인한 NICE 크래딧뱅크 로그인 보안접속 해제 화면


또 그는 "특히 나이스평가정보 크레딧뱅크사이트는 개인의 각종 신용관련 정보를 서비스하는 사이트로 고객의 정보를 생명과 같이 여겨야 할 신용평가회사가 고객정보보호에 대한 책임을 고객에게 전가하는 행위로 신용평가기업의 자격이 갖추어진 기업인가 의구심이 들 정도"라고 비판했다.

손 대표는 "일반기업도 아닌 방송통신위원회에서 지정한 본인확인기관으로 신용평가회사와 통신사에서 이같이 보안이 취약한 서비스를 제공하는 것은 보안의식에 대한 심각한 문제로 관련 기관은 해당기업에 대해 보다 철저히 관리감독해야 할 것"이라고 말했다. 

한편 이에 대해 SK텔레콤측은 "T월드 홈페이지에서 모든 고객들에게 보안접속을 제공하지 않는 것이 아니라 핸드폰을 분실할 경우 빠르게 접속, 처리를 원하는 고객을 위해 보안접속을 선택적으로 제공하고 있다"며 "고객 편이를 위해 옵션으로 제공한만큼 모든 고객의 데이터가 암호화되지 않는 것은 아니다"고 해명했다.