[단독] 보안없는 'ITU전권회의'가 웬말?

2014-11-05 14:25
  • 글자크기 설정

2014 ITU 전권회의 특별행사인 월드IT쇼 사전참가자 모집사이트가 전송구간 암호화를 하지 않아 사용자의 아이디, 패스워드 등이 그대로 노출되고 있는 분석 장면 [사진 = 정보화사회실천연합 제공 ]


아주경제 장윤정 기자 = 전세계 IT올림픽으로 불리는 ITU전권회의가 막바지로 치닫고 있는 가운데 관련 사이트가 보안에 미흡한 것으로 드러나 망신살을 샀다.

미래창조과학부가 세계적인 IT전문행사의 성격에 걸맞지 않게 정보보호를 소홀히 했다는 지적이다.
5일 본지가 조사한 바에 따르면 '2014 ITU전권회의' 특별행사인 IPIN 국제컨퍼런스(www.ipin2014.org)와 월드 IT쇼(WIS) 2014(http://www.worlditshow.co.kr/)에서 사전가입자를 모집하는 가운데 아이디와 패스워드 등의 전송구간 암호화가 취약해 개인정보가 노출될 우려가 있는 것으로 드러났다. 

이번 조사는 외부에서 개인정보보호의 척도를 확인할 수 있는 유일한 방법인 '개인정보의 보호조치' 사항 중 기술적 조치에 속하는 전송구간 암호화(보안서버구축, SSL)에 대해 ‘비밀번호‘의 암호화 준수 여부를 패킷 분석 도구인 와이어샤크를 사용해 진행했다. 와이어샤크는 초보자도 인터넷에서 쉽게 구할 수 있는 도구다. 

전송구간 암호화를 하지 않으면 데이터를 서버로 전송하는 과정에서 패킷이 공격자에 노출돼 유출될 위험이 있다. 사전가입자 모집에 필요한 이름, 휴대폰번호 등 민감정보가 노출될 경우 스팸메일이나 피싱전화 등에 시달릴 수 있어 전송구간 암호화는 민감정보 모집 시 필수적으로 적용해야하는 기본 보안사항이다. 

이와 같은 내용을 미래부에 알리고 확인을 요청한 결과 미래부 담당자는 "(보안쪽은)산하기관인 한국인터넷진흥원 소관으로 그쪽에서 사실관계를 파악해야 한다"고 책임을 떠밀었다.

이에 한국인터넷진흥원 관계자는 "해당 사이트가 주민등록번호 등 민감정보를 수집하고 있지 않기 때문에 법적 위반사항은 없는 것으로 안다"며 "구축 업체에 이같은 사실을 알리고 조처하겠다"고 답변했다.

이후 재확인 과정에서 한국인터넷진흥원측은 "구축 업체에 확인을 요청했으나 관련 페이지를 아예 삭제해버려 위반사항을 확인할 수 없었다. 관련 페이지가 사라졌으나 위험요소는 없는 셈"이라고 설명했다.

보안의 취약성을 캐묻자 관계기관이 서둘러 꼬리 자르기를 시도한 것이다.

이에 대해 손영준 정보화사회실천연합 대표는 "관련 페이지를 삭제한다고 위험이 사라지는 것은 아니다"며 "애초부터 보안이 미적용된 사이트를 개설해두고 사전 가입자를 모집하고 문제가 드러나자 해당 페이지를 없애는 것은 책임회피에 다름없다"고 비판했다. 

ITU전권회의가 막바지로 치닫고 있는 상황에서 미흡한 보안이 글로벌 행사의 발목을 잡을 우려가 커지는 가운데 미래부의 임기응변식 대응 또한 적절하지 못하다는 비판의 목소리가 커져가고있다.
 

2014 ITU 전권회의 특별행사인 IPIN 국제컨퍼런스 사전참가자 모집사이트가 전송구간 암호화를 하지 않아 사용자의 아이디, 패스워드 등이 그대로 노출되고 있는 분석 장면 [자료 = 한국정보화사회실천연합 제공 ]


©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기
언어선택
  • 중국어
  • 영어
  • 일본어
  • 베트남어
닫기