[단독]서울시 '함께서울 캠페인' 사이트 개인정보 줄줄 새
2014-09-24 14:13
이벤트 사이트, 단기운영으로 보안 신경 안써…개인정보 모으는데 암호화 안해
아주경제 장윤정 기자 = 서울시가 운영하는 '함께서울 캠페인' 사이트(http://promotion.daum-kg.net/seoul_policyfair/event1.html)에서 개인정보가 줄줄 새고 있다.
이벤트 사이트는 단기간 운영하는 경우가 대부분이라 보안에 취약한 경우가 많다. 이런 취약성을 노려 해커가 이벤트 사이트를 통해 침입할 가능성이 높기 때문에 이벤트사이트 보안에 더욱 주의를 기울여야한다는 지적이다.
특히 서울시의 경우 이벤트사이트뿐만 아니라 보안에 취약한 사이트가 한 둘이 아니다.
지난 1일 '서울시 와우 2.0 사이트'도 암호화를 적용하지 않았으며 지난달 8월 25일자에 보도한 '서울시 시니어포탈 +50' 역시 현재는 수정됐지만 당시 암호화를 준수하지 않았다. 앞서 본지 2월 6일자 ‘서울시, 경기도 등 홈페이지 정보샌다’ 제하의 기사에서도 서울시 대표 사이트들의 개인정보보호법 미 준수를 고발한 바 있다.
올초에는 서울시 4개 구청 강남구청ㆍ서초구청ㆍ 송파구청ㆍ은평구청 홈페이지의 암호화 미적용 사례도 본지의 취재를 통해 밝혀졌다.
서울시 '함께서울 캠페인' 사이트는 시민들의 다양한 정책에 관한 아이디어 등을 자유롭게 제언하는 소통의 장으로 24일 현재 5만9855여명이 방문했으며, 그 중 6017명이 본 캠페인에 참가한 상태다.
서울시의 경우처럼 단기간 운영하는 채용 공고나 경품 프로모션 같은 이벤트 사이트의 보안을 방치하고 있는 경우가 많아 이벤트 사이트를 통한 개인정보 유출사고가 발생할 가능성이 매우 높다.
이벤트 사이트의 보안이 취약하면 SQL 인젝션 공격 등으로 DB 정보를 긁어가거나 이벤트 사이트를 경유해 내부 주요 서버 DB까지 침입이 가능, 심각한 사태를 불러올 수도 있다. 또 이벤트 사이트는 아웃소싱 업체에 하청을 주는 경우도 많아 더욱 보안에 취약하다. 영세 하청업체가 보안 지침에 따라 사이트를 개발하긴 어렵기 때문이다.
실제 모의해킹을 주로 담당하는 해커 P씨는 “정상적인 사이트보다 기업들이 단기간 운영하는 이벤트 사이트에서 주로 취약성을 찾는다”며 “이벤트 사이트는 방화벽, 침입방지장비(IPS327), 침입탐지장비(IDS) 등 보안 시스템 밖에 두거나 시큐어코딩 없이 급하게 만들어 보안에 취약한 편”이라고 말했다.
손영준 정보화사회실천연합 대표는 "이벤트 사이트의 보안이 개인정보보호법상 강제하는 내용은 아니지만 일반 민간기업이 아닌 서울시가 시민들의 정책을 듣고 소통하면서 필요한 개인정보를 수집한다면 참여하는 시민의 개인정보를 보호하는 노력을 보여주는 것이 마땅하다"고 지적했다. 또 그는 "참여자에게 경품으로 제공되는 '무료커피한잔' 보다는 개인정보를 보호하는것이 참여시민에 대한 최소한의 예의일 것"이라고 강조했다.