개인정보보호 안 하는 KISA..이용자 비밀번호 '미암호화'

by이승현 기자
2015.05.11 01:10:09

[이데일리 이승현 기자] 국내 정보보호 담당 공공기관인 한국인터넷진흥원(KISA)이 ‘비밀번호 암호화’ 같은 가장 기본적인 개인정보보호 조치도 이행하지 않은 것으로 드러났다.

시민단체인 정보화사회실천연합은 지난 8일 KISA가 운영하는 ‘창조 앱 빌지리’(www.appvillage.or.kr) 사이트의 개인정보보호 준수여부를 모니터링한 결과, 사용자의 아이디와 비밀번호가 암호화되지 않은 채 전송되는 것을 확인했다고 10일 밝혔다.

정실연은 패킷분석도구인 ‘와이어샤크’(Wireshark)를 이용해 이를 밝혀냈다.

창조앱빌리지는 모바일 어플리케이션 개발자에게 각종 정보와 인프라 등을 제공하고 앱 구동도 테스트할 수 있도록 하는 웹사이트다. 현재 1000명 이상이 가입해 있다.

‘창조 앱 빌리지’ 사이트 로그인 때 비밀번호에 대한 암호화 기술 미적용 화면. 정보화사회실천연합 제공

그런데 중요한 개인정보인 아이디와 비밀번호의 전송구간을 암호화하지 않은 것은 기본적인 개인정보보호 조치조차 하지 않은 것으로 명백한 현행법 위반이다.

이를 암호화하지 않으면 해커는 ‘스니핑’(Sniffing·전송 중간 정보를 가로채는 해킹방식) 수법 등으로 이용자의 고유정보를 얻어 복호화 등 별도 조치 없이 그대로 이용할 수 있기 때문이다.



개인정보보호법은 비밀번호와 고유식별정보(주민등록번호 등), 바이오 정보 등을 암호화 필수 대상정보로 규정한다. 비밀번호 전송 때 암호화 처리를 하지 않으면 3000만원 이하의 과태료 처분을 받을 수 있다.

비밀번호 미암호화 조치는 KISA의 관리소홀 때문으로 분석된다.

KISA는 지난해 10월 설립한 이 사이트를 직접 운영해오다 올 3월 27일 한국무선인터넷산업협회(MOIBA)에 위탁해 운영하도록 했다. 이후 MOIBA가 이 사이트를 업데이트(패치작업)하면서 아이디와 비밀번호 암호화 작업을 실수로 누락했다고 KISA 측은 해명혔다.

KISA 측은 이와 관련, 이 사이트의 패치작업 이후 가입자들의 정보가 전송구간에서 암호화되지 않았으며, 이전 가입자들의 정보는 정상적으로 관리돼왔다고 밝혔다.

KISA 관계자는 “우리 기관이 직접 챙겼어야 했는데 실수가 있었다. 관리책임은 우리에게 있다”고 말했다. KISA 측은 이데일리의 취재가 시작되자 이 사이트의 문제점을 파악하고서 보완조치를 바로 완료했다고 덧붙였다.

손영준 정실연 대표는 “KISA조차 보안취약점 사전점검 없이 사이트를 운영하는 것은 개인정보 보호정책이 구호에 그치고 있다는 반증”이라며 “개인정보 책임자를 비롯해 해당시스템 구축과 운영, 담당자에게 직무태만의 책임을 물어야 한다”고 지적했다.

‘창조 앱 빌리지’ 사이트의 메인화면 갈무리.