미래부, 보안 안하나 못하나 '규제개혁 GO 사이트 개인정보보호 구멍'

2014-11-27 14:05

로그인시 보안서버 미 적용으로 인하여 “비밀번호” 암호화 미 조치 화면[자료= 정보화사회실천연합 제공 ]


아주경제 장윤정 기자 = 미래창조과학부가 관련 웹 사이트의 개인정보 암호화를 소홀히하고 있어 빈축을 사고 있다.  일각에선 암호화 미준수에 따른 개인정보 유출로 명의도용, 보이스피싱 등 2차 피해를 우려하고 있다.

미래창조과학부의 '규제개혁 GO사이트'가 사이트 암호화를 적용하지 않아 사용자들의 개인정보가 노출될 위험이 있는 것으로 드러났다.

27일 본지가 조사한 바에 따르면 미래부의 '규제개혁 GO(http://www.regulationfree.or.kr)' 사이트에서 아이디와 패스워드 등의 전송구간 암호화가 취약해 개인정보가 노출될 우려가 있는 것으로 나타났다.

이 사이트는 미래부가 창조경제활동을 추진하는 과정에서 혁신 드라이브를 걸고 장애요인을 제거하기 위한 제도 개선 의견 수렴의 장으로 활용되고 있다. 이 과정에서 회원들의 이름, 이메일, 휴대폰 번호 등 개인정보를 수집하고 있다.

이번 조사는 외부에서 개인정보보호의 척도를 확인할 수 있는 유일한 방법인 '개인정보의 보호조치' 사항 중 기술적 조치에 속하는 전송구간 암호화(보안서버구축, SSL)에 대해 ‘비밀번호‘의 암호화 준수 여부를 패킷 분석 도구인 와이어샤크를 사용해 진행했다. 와이어샤크는 초보자도 인터넷에서 쉽게 구할 수 있는 도구다.

전송구간 암호화를 하지 않으면 데이터를 서버로 전송하는 과정에서 패킷이 공격자에 노출돼 유출될 위험이 있다. 규제개혁 GO 사이트에서 수집하고 있는 개인정보가 노출될 경우 스팸메일이나 피싱전화 등에 시달릴 수 있어 전송구간 암호화는 민감정보 수집 시 필수적으로 적용해야하는 기본 보안사항이다.

더구나 최근 개인정보 유출사고가 잇따르면서 정부가 처벌 조항을 강화하는 등 대책마련에 고심하고 있어 미래부가 엇박을 내고 있는 것 아니냐는 지적도 제기된다.

실제로 최근 방송통신위원회는 정보통신망이용촉진 및 정보보호등에관한법률 시행령 개정안을 의결하고 개인정보가 유출됐다면 최대 10년 동안 피해 사실에 대한 손해배상을 청구할 수 있도록 했다. 개인정보는 한번 유출되면 그 피해가 2차, 3차로 지속되는 경향이 있어 정보 관리에 대한 주체의 책임이 크게 강화돼야 하기 때문이다. 이용자의 피해 구제 범위가 그만큼 확대된 셈이다.

개인정보는 수집하지 않지만 미래부의 'R&D도우미(http://www.rndcall.go.kr)' 사이트 또한 암호화에 미흡한 것으로 조사됐다.
 

미래부 R&D도우미 사이트의 암호화 미 조치 화면[자료 = 정보화사회실천연합 제공 ]


개인정보를 수집하지 않아도 개인정보보호법상 비밀번호는 암호화해 전송토록 규정하고 있어 규정을 위반하고 있다는 것이 전문가들의 중론이다. 

특히 미래부는 본지의 'ITU전권회의' 특별행사 '월드IT쇼' 및 창조경제 사이트의 암호화 미적용 등 잇단 보도에 산하 사이트를 일제 점검해 암호화를 강화하겠다고 밝혔으나 여전히 미적용된 사이트가 드러나고 있어 논란이 예상된다.

손영준 정보화사회실천연합 대표는 "소비자 대상 웹사이트들이 개인정보보호를 위해 암호화를 도입하는 비중이 커지는 상황"이라며 "비회원인 경우에도 이용이 가능하도록 사이트를 수정하거나 암호화를 통해 수집한 개인정보를 안전하게 관리해야한다"고 강조했다.