시민단체인 정보화사회실천연합은 지난 8일 KISA가 운영하는 ‘창조 앱 빌지리’(www.appvillage.or.kr) 사이트의 개인정보보호 준수여부를 모니터링한 결과, 사용자의 아이디와 비밀번호가 암호화되지 않은 채 전송되는 것을 확인했다고 10일 밝혔다.
정실연은 패킷분석도구인 ‘와이어샤크’(Wireshark)를 이용해 이를 밝혀냈다.
창조앱빌리지는 모바일 어플리케이션 개발자에게 각종 정보와 인프라 등을 제공하고 앱 구동도 테스트할 수 있도록 하는 웹사이트다. 현재 1000명 이상이 가입해 있다.
|
이를 암호화하지 않으면 해커는 ‘스니핑’(Sniffing·전송 중간 정보를 가로채는 해킹방식) 수법 등으로 이용자의 고유정보를 얻어 복호화 등 별도 조치 없이 그대로 이용할 수 있기 때문이다.
개인정보보호법은 비밀번호와 고유식별정보(주민등록번호 등), 바이오 정보 등을 암호화 필수 대상정보로 규정한다. 비밀번호 전송 때 암호화 처리를 하지 않으면 3000만원 이하의 과태료 처분을 받을 수 있다.
비밀번호 미암호화 조치는 KISA의 관리소홀 때문으로 분석된다.
KISA는 지난해 10월 설립한 이 사이트를 직접 운영해오다 올 3월 27일 한국무선인터넷산업협회(MOIBA)에 위탁해 운영하도록 했다. 이후 MOIBA가 이 사이트를 업데이트(패치작업)하면서 아이디와 비밀번호 암호화 작업을 실수로 누락했다고 KISA 측은 해명혔다.
KISA 측은 이와 관련, 이 사이트의 패치작업 이후 가입자들의 정보가 전송구간에서 암호화되지 않았으며, 이전 가입자들의 정보는 정상적으로 관리돼왔다고 밝혔다.
KISA 관계자는 “우리 기관이 직접 챙겼어야 했는데 실수가 있었다. 관리책임은 우리에게 있다”고 말했다. KISA 측은 이데일리의 취재가 시작되자 이 사이트의 문제점을 파악하고서 보완조치를 바로 완료했다고 덧붙였다.
손영준 정실연 대표는 “KISA조차 보안취약점 사전점검 없이 사이트를 운영하는 것은 개인정보 보호정책이 구호에 그치고 있다는 반증”이라며 “개인정보 책임자를 비롯해 해당시스템 구축과 운영, 담당자에게 직무태만의 책임을 물어야 한다”고 지적했다.
|
![전쟁 거의 끝 한마디에…롤러코스터 탄 뉴욕증시·유가[월스트리트in]](https://image.edaily.co.kr/images/vision/files/NP/S/2026/03/PS26031000131t.jpg)
![“덩치 큰 남성 지나갈 땐”…아파트 불 지른 뒤 주민 ‘칼부림' 악몽[그해 오늘]](https://image.edaily.co.kr/images/vision/files/NP/S/2026/03/PS26031000001t.jpg)