국토교통부 세움터 홈페이지의 모바일 웹의 로그인 비밀번호 암호화 미 조치 화면. 비밀번호로 'pwd0827'을 입력했지만 개인정보보호법 규정과는 달리 암호화되지 않은 채 전송되고 있었다. (자료=정보화사회실천연합 제공)
국토교통부가 사업비 83억 원을 들여 구축한 건축행정시스템에 개인정보 유출 가능성이 높은 것으로 확인됐다.
잇따른 개인정보 대량 유출 사고로 국민들이 불안에 떠는 가운데 정부 부처가 오히려 역주행을 하고 있는 셈이다.
◈ 국토부 '세움터' 홈페이지, 비밀번호 암호화 없이 처리시민단체 정보화사회실천연합(정실련)은 국토부의 건축행정시스템인 '세움터'(http://www.eais.go.kr)를 분석한 결과 로그인 시 사용자의 비밀번호를 암호화 처리하지 않는 사례를 발견했다고 4일 밝혔다.
세움터는 건축행정업무의 관전 전자화를 목표로 지난 2008년부터 지난해 말까지 다섯 차례에 걸쳐 83억 원을 투입해 구축한 건축행정시스템이다.
정실련은 지난달 27일 인터넷 패킷 분석 프로그램인 '와이어샤크'를 이용해 분석한 결과 일반 웹페이지와 모바일 웹페이지에서 비밀번호가 암호화되지 않은 채 전송되는 사실을 발견했다.
개인정보가 흐르는 통로는 외부에서 들여다볼 수 없도록 관리돼야 하고 그 내용도 알아볼 수 없도록 암호화해야 하지만, 세움터 홈페이지는 내부를 훤히 들여다 볼 수 있는 셈이다.
암호화를 하지 않으면 PC에 악성코드가 설치된 경우 패킷 캡처 프로그램을 이용해 손쉽게 입력한 개인정보를 볼 수 있다는 게 전문가들의 의견이다.
◈ 정부 부처가 개인정보보호법 위반 '역주행'암호화를 하지 않고 있는 국토부의 세움터는 개인정보보호법을 위반한 상태로, 과태료 부과 대상이다.
개인정보보호법 24조 3항에는 '고유식별정보를 처리하는 경우 해당 정보가 유출되지 않도록 암호화 등 안전성 확보에 필요한 조치를 해야 한다'고 규정돼 있다.
이를 어길 경우 최대 2400만 원의 과태료가 부과되게 된다.
◈ 국토부, "처음부터 암호화 안 했던 건 아냐"이런 지적에 대해 국토부는 법률 미이행 사실을 인정하며 뒤늦게 암호화 조치에 나섰다.
국토부 관계자는 "지난 7월 15일 업데이트 작업을 하면서 암호화가 누락되는 실수가 있었다"면서 "처음부터 암호화를 하지 않았던 것은 아니다"라고 해명했다.
하지만 국토부는 CBS노컷뉴스의 취재 뒤 웹사이트에는 부분 암호화를 적용했지만 이날 오후까지 모바일 웹에서의 암호화는 여전히 적용하지 않은 상태다.
◈ 공공기관의 반복되는 개인정보보호법 위반, "보안 의식 불감증 탓"문제는 이런 개인정보 전송 구간 암호화가 미비한 공공기관 웹사이트가 한두 군데가 아니라는 점이다.{RELNEWS:right}
정실련은 지난해에도 안전행정부(당시 행정안전부) 일부 홈페이지와 공공기관 등 모두 60여 개 홈페이지에서 암호화를 하지 않았다는 사실을 발견해 한국인터넷진흥원에 신고하기도 했다. (지난해 2월 19일자 CBS노컷뉴스 '새누리당 등 주요 정당 홈페이지에서도 개인정보 샌다' 참조)
정실련 손영준 대표는 "암호화 미이행을 발견한 즉시 국토부에 사실을 알렸지만 취재 전까지 어떠한 조치도 없었다"면서 "보안 의식 불감증과 형식적인 검수 행위로 국민의 개인정보가 노출될 보안위험을 공무원이 방치하고 있다"고 비판했다.