본지가 지난해부터 수차례 지적한바와 같이 서울시가 운영하는 홈페이지의 개인정보보호 실태가 엉망이기 때문이다.
상당수 서울시 사이트들이 아이디와 비밀번호, 심지어 주민등록번호 등에서 암호화 조치를 취하지 않아 노출될 위험이 높은 것으로 드러났지만 적극적인 점검 및 보완에 나서지 않는 실정이다.
◆서울시 전자정부 1위? 개인정보보호 미흡 도마위
이날 서울시는 미국 럿거스대학교의 공공행정학과 소속 전자정부 연구소(E-Governance Institute) 자료를 인용해 서울시가 세계 대도시 중 웹기반 행정서비스(전자정부)가 가장 우수한 것으로 평가됐다고 밝혔다.
서울시는 총 5개 분야 중 △서비스 △시민참여 △개인정보보호 및 보안 △콘텐츠 4개 분야에서 1위를 차지, 총 85.80점을 받았다. 2위 도시인 뉴욕과의 큰 점수격차(19.65)로 1위에 올랐다. 서울시는 2003년부터 6회 연속(2003년, 2005년, 2007년, 2009년, 2011년, 2013년) 세계 최고 전자정부 도시로 선정됐다.
하지만 본지가 국내외 보안연구소, 시민단체 등과 조사한 바에 따르면 서울시의 개인정보보호 실태는 낙제점이다.
본지 지난 6일자에 따르면 서울시가 운영하는 지방세 이의신청 사이트 '서울시 응답소(http://eungdapso.seoul.go.kr/)가 회원들의 주민등록번호를 암호화하지 않아 개인정보 유출의 위험이 있는 것으로 나타났다.
또 지난 9월 24일자 본지 단독으로 보도한 '함께서울 캠페인' 사이트에서 이벤트에 참여한 개인들의 이름, 휴대전화번호, 주소 등 개인정보를 수집하고 있지만 암호화 처리 하지 않아 개인정보 유출 위험이 큰 것으로 조사됐다.
지난달 11일자 본지 단독으로 보도한 서울 시민 커뮤니티 사이트 '서울스토리사이트 (http://www.seoulstory.org)'에서도 로그인 시 비밀번호 암호화 등이 적용되지 않은 것으로 드러났다.
지난달 1일 '서울시 와우 2.0 사이트'도 암호화를 적용하지 않았으며 지난 8월 25일자에 보도한 '서울시 시니어포탈 +50' 역시 현재는 수정됐지만 당시 암호화를 준수하지 않았다. 앞서 본지 2월 6일자 ‘서울시, 경기도 등 홈페이지 정보샌다’ 제하의 기사에서도 서울시 대표 사이트들의 개인정보보호법 미 준수를 고발한 바 있다.
올초에는 서울시 4개 구청 강남구청ㆍ서초구청ㆍ 송파구청ㆍ은평구청 홈페이지의 암호화 미적용 사례도 본지의 취재를 통해 밝혀졌다.
◆서울시 보안 총괄 '컨트롤타워'가 없다
이처럼 서울시의 개인정보보호 위반 사례가 끊이지 않아 보안불감증이 만연한 것으로 나타나 이번 선정 기준에 포함된 개인정보보호 및 보안에 대한 기준을 충족시키기에는 부족하다는 지적이다.
서울시의 개인정보보호 위반사례들은 사이버보안에 대한 '컨트롤타워' 부제 때문인 것으로 추정된다. 각 사이트에 대한 통합 운영, 정보보호에 대한 감시 없이 해당 부서, 과 단위로 개별 대응을 하다보니 총괄적으로 취약성을 진단하고 이를 방어할 컨트롤타워가 없다.
지난해까지 서울시는 내부에서 '정보보호과'가 신설되고 전문가를 영입해 정보보호과를 총괄하게 해야한다는 의견이 제기됐지만 흐지부지된 것으로 전해졌다.
서울시는 일반 시, 군, 구 운영과는 차원이 다른 조직이다. 국방을 제외한 전 분야가 서울시에 있다해도 과언이 아니라할 정도로 막강한 조직과 세부 분야를 지닌 서울시부터 철저한 보안이 선행되지 않는다면 대한민국 사이버보안에 안전은 없다는 분석이다.
또 공무원 특유의 순환보직에 따른 부서 이동으로 서울시 정보화기획단쪽에 정보보호를 담당할 전문가가 부족하다는 것도 문제로 꼽힌다. 정보보호는 분야별 특성 상 내부에서든 외부에서든 전문가가 필요하다는 지적이다.
관련 전문가들은 "서울시가 정보보호에 대한 인식을 다시 하고 전문가 영입 및 총체적인 취약성을 점검, 보완할 컨트롤타워를 신설, 부실을 막지 않으면 조만간 대형 사이버공격을 당할 수도 있다"고 경고했다.