AD
[앵커]
사건 기자들의 취재 이야기 들어보는 동분서주입니다. 얼마 전에 대기업 사이트들이 개인정보보호에 취약하다. 이렇게 보도를 했었는데 이번에는 정부기관도 문제가 있다는 취재를 했군요.
[기자]
앞서 민간 사이트들의 문제를 연속 보도해 드렸었는데 그런데 이번에는 정부부처와 공공기관 사이트들에 문제가 있었습니다.
[앵커]
대표적으로 어떤 곳들이 있습니까?
[기자]
국민을 재난으로부터 보호하는 국민안전처가 있었고요. 그리고 정부에서 개인정보보호가 잘 돼있다고 선정한 부처와 공공기관들도 문제가 있었는데 보건복지부의 부정수급 신고사이트 그리고 대구도시공사의 관리자 로그인 정보가 관리 부실 상태였습니다.
또 여성가족부와 교육부 관련 사이트도 문제가 있었고요.
[앵커]
국민안전처마저 개인정보보호에 소홀하다, 조금 문제가 아닐 수 없는데 어떤 문제들이 있는 겁니까?
[기자]
일단 로그인을 할 때 아이디와 비밀번호가 암호로 처리가 돼야 됩니다. 그렇지 않을 경우에 전송구간에서 그 아이디와 비밀번호가 그대로 노출되게 되는데 이뿐만이 아니었습니다.
본인인증을 하게 하는데 이때 입력한 전화번호 그리고 생년월일 정보도 서버로 전송되는 과정에서 보호가 안 되고 있었습니다.
이와 함께 보건복지부는 부정수급 신고를 할 때 입력하는 주민등록번호가 미암호화처리가 됐고요. 대구도시공사는 그 정부의 실태 점검에서 지방공격 가운데 개인정보관리 1위를 했거든요.
그런데 사이트 관리자 로그인 정보가 암호처리가 안 되어 있었습니다. 이럴 경우에 노출될 경우 시스템이 뚫릴 수 있는 거 아니냐, 이런 우려가 나오고 있죠. 그리고 여성가족부 또 교육부 관련 사이트들도 아이디와 비밀번호가 보호가 되지 않고 있었습니다.
[앵커]
일단 정부의 입장에서 보면 암호화에 대한 인식이 부족해서 여러 곳에서 문제점이 드러나는 것 아닌가 싶은데 입력된 개인정보를 암호화처리하지 않으면 어떠한 문제가 생길 수 있는 거죠?
[기자]
아까 설명드린 대로 일단 입력한 정보는 암호로 바뀌어서 서버로 전송이 돼야 됩니다.
그래야지 그 중간 단계에서 누군가 이 정보를 보더라도 활용할 수 없게 하기 위해서인데요. 지금 그림 보시는 것처럼 전혀 알아볼 수 없는 문자로 바뀌어서 전송이 돼야 되는 거죠.
[앵커]
그러니까 비밀번호를 1,2, 3, 4로 기록을 해도 전송되는 과정에서 저렇게 동그라미, 네모가 됐든 기호화 되고 암호가 돼서 해커들이 보더라도 알아볼 수 없어야 되는데 저걸 안 했다는 말씀이군요.
[기자]
만약에 암호화가 안 돼있다면 이렇게 1, 2, 3, 4를 입력했을 때 그대로 전송이 되거든요. 그랬을 때 아주 간단한 프로그램을 활용해서 암호로 처리되지 않은 정보를 볼 수가 있습니다.
저도 직접 시연을 해 봤는데 인터넷에서 무료로 다운로드받을 수 있는 그런 프로그램을 활용해서 네트워크에 돌아다니는 정보를 볼 수 있었고 그 암호화가 되어 있지 않은 경우에 아주 쉽게 확인을 할 수 있었습니다.
[앵커]
암호화 쉽게 얘기하면 명동 한복판에서 자기 주민번호 크게 떠드는 거랑 비슷한 수준이다. 이렇게 볼 수 있겠군요, 해커 입장에서는.
그런데도 지난번에도 지적했는데 왜 이런 조치가 안 되 있는 겁니까?
[기자]
저희가 이전에 민간 사이트들에 대해서 지적을 했을 때에도 그 민간 사이트에서 직접 조치를 바로 했거든요.
그리고 행정자치부에서는 알지 못하는 그런 상황이었습니다. 이번 같은 경우에도 시민단체에서 이미 일부 사이트의 보안에 문제가 있다. 이렇게 연락을 했다고 합니다.
그런데 아직까지도 행정자치부에서는 조치를 안 하고 있죠. 또 심지어 관리우수기관으로 선정된 보건복지부나 그리고 대구도시공사 같은 이런 기관들에 문제점을 지적했을 때는 암호화가 그 평가기준이 아니다, 이렇게 얘기했다고 해요.
하지만 이 암호화하는 이 부분은 개인정보보호법 그리고 정보통신망법에 그 의무사항으로 규정이 돼 있거든요.
그리고 행정자치부 고시에도 비밀번호 그리고 주민번호는 암호로 처리하도록 규정이 돼 있는 상황입니다.
[앵커]
그러니까 해명 자체가 정확한 법규정을 모르고 얘기를 하는 거니까 저렇게 조치가 안 되어 있는 것 같은데 알면서도 안 하는 이유가 있을 것 같아요.
[기자]
저희가 앞서서 민간사이트들의 문제점을 지적할 때 행정자치부와 얘기를 나눠봤는데 행정자치부는 일단 일일이 확인하는 게 어렵다. 이런 입장이거든요.
개인정보를 보유하고 있는 곳만 340만 곳에 달하고 사이트를 갖고 있는 곳이 70만 곳에 달한다. 그래서 이걸 일일이 확인하기가 어렵고 자율적으로 개인정보보호 강화조치를 해 나기를 바란다, 이런 방법을 추천한다고 합니다.
[앵커]
김대근 기자가 일일이 확인해서 알려달라 이런 얘기인가요?
[기자]
이게 정말 어려운 일이죠. 그래서 저희가 아까 말씀드렸던 시민단체에서 이렇게 자발적으로 확인을 해서 알려주고 있는 상황이기도 한데 그런데도 알려줬을 때 조치를 안 한다, 이게 더 큰 문제가 아닐까 싶습니다.
[앵커]
전혀 개인정보보호에 대해서 여러 가지 해킹 사건도 있었지만 정부의 인식은 현실과도 동떨어져 있지 의지도 없고 큰 문제점이 아닐 수 없네요. 빨리 보완대책이 필요햐것 같습니다. 김대근 기자, 수고했습니다. 고맙습니다.
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
사건 기자들의 취재 이야기 들어보는 동분서주입니다. 얼마 전에 대기업 사이트들이 개인정보보호에 취약하다. 이렇게 보도를 했었는데 이번에는 정부기관도 문제가 있다는 취재를 했군요.
[기자]
앞서 민간 사이트들의 문제를 연속 보도해 드렸었는데 그런데 이번에는 정부부처와 공공기관 사이트들에 문제가 있었습니다.
[앵커]
대표적으로 어떤 곳들이 있습니까?
[기자]
국민을 재난으로부터 보호하는 국민안전처가 있었고요. 그리고 정부에서 개인정보보호가 잘 돼있다고 선정한 부처와 공공기관들도 문제가 있었는데 보건복지부의 부정수급 신고사이트 그리고 대구도시공사의 관리자 로그인 정보가 관리 부실 상태였습니다.
또 여성가족부와 교육부 관련 사이트도 문제가 있었고요.
[앵커]
국민안전처마저 개인정보보호에 소홀하다, 조금 문제가 아닐 수 없는데 어떤 문제들이 있는 겁니까?
[기자]
일단 로그인을 할 때 아이디와 비밀번호가 암호로 처리가 돼야 됩니다. 그렇지 않을 경우에 전송구간에서 그 아이디와 비밀번호가 그대로 노출되게 되는데 이뿐만이 아니었습니다.
본인인증을 하게 하는데 이때 입력한 전화번호 그리고 생년월일 정보도 서버로 전송되는 과정에서 보호가 안 되고 있었습니다.
이와 함께 보건복지부는 부정수급 신고를 할 때 입력하는 주민등록번호가 미암호화처리가 됐고요. 대구도시공사는 그 정부의 실태 점검에서 지방공격 가운데 개인정보관리 1위를 했거든요.
그런데 사이트 관리자 로그인 정보가 암호처리가 안 되어 있었습니다. 이럴 경우에 노출될 경우 시스템이 뚫릴 수 있는 거 아니냐, 이런 우려가 나오고 있죠. 그리고 여성가족부 또 교육부 관련 사이트들도 아이디와 비밀번호가 보호가 되지 않고 있었습니다.
[앵커]
일단 정부의 입장에서 보면 암호화에 대한 인식이 부족해서 여러 곳에서 문제점이 드러나는 것 아닌가 싶은데 입력된 개인정보를 암호화처리하지 않으면 어떠한 문제가 생길 수 있는 거죠?
[기자]
아까 설명드린 대로 일단 입력한 정보는 암호로 바뀌어서 서버로 전송이 돼야 됩니다.
그래야지 그 중간 단계에서 누군가 이 정보를 보더라도 활용할 수 없게 하기 위해서인데요. 지금 그림 보시는 것처럼 전혀 알아볼 수 없는 문자로 바뀌어서 전송이 돼야 되는 거죠.
[앵커]
그러니까 비밀번호를 1,2, 3, 4로 기록을 해도 전송되는 과정에서 저렇게 동그라미, 네모가 됐든 기호화 되고 암호가 돼서 해커들이 보더라도 알아볼 수 없어야 되는데 저걸 안 했다는 말씀이군요.
[기자]
만약에 암호화가 안 돼있다면 이렇게 1, 2, 3, 4를 입력했을 때 그대로 전송이 되거든요. 그랬을 때 아주 간단한 프로그램을 활용해서 암호로 처리되지 않은 정보를 볼 수가 있습니다.
저도 직접 시연을 해 봤는데 인터넷에서 무료로 다운로드받을 수 있는 그런 프로그램을 활용해서 네트워크에 돌아다니는 정보를 볼 수 있었고 그 암호화가 되어 있지 않은 경우에 아주 쉽게 확인을 할 수 있었습니다.
[앵커]
암호화 쉽게 얘기하면 명동 한복판에서 자기 주민번호 크게 떠드는 거랑 비슷한 수준이다. 이렇게 볼 수 있겠군요, 해커 입장에서는.
그런데도 지난번에도 지적했는데 왜 이런 조치가 안 되 있는 겁니까?
[기자]
저희가 이전에 민간 사이트들에 대해서 지적을 했을 때에도 그 민간 사이트에서 직접 조치를 바로 했거든요.
그리고 행정자치부에서는 알지 못하는 그런 상황이었습니다. 이번 같은 경우에도 시민단체에서 이미 일부 사이트의 보안에 문제가 있다. 이렇게 연락을 했다고 합니다.
그런데 아직까지도 행정자치부에서는 조치를 안 하고 있죠. 또 심지어 관리우수기관으로 선정된 보건복지부나 그리고 대구도시공사 같은 이런 기관들에 문제점을 지적했을 때는 암호화가 그 평가기준이 아니다, 이렇게 얘기했다고 해요.
하지만 이 암호화하는 이 부분은 개인정보보호법 그리고 정보통신망법에 그 의무사항으로 규정이 돼 있거든요.
그리고 행정자치부 고시에도 비밀번호 그리고 주민번호는 암호로 처리하도록 규정이 돼 있는 상황입니다.
[앵커]
그러니까 해명 자체가 정확한 법규정을 모르고 얘기를 하는 거니까 저렇게 조치가 안 되어 있는 것 같은데 알면서도 안 하는 이유가 있을 것 같아요.
[기자]
저희가 앞서서 민간사이트들의 문제점을 지적할 때 행정자치부와 얘기를 나눠봤는데 행정자치부는 일단 일일이 확인하는 게 어렵다. 이런 입장이거든요.
개인정보를 보유하고 있는 곳만 340만 곳에 달하고 사이트를 갖고 있는 곳이 70만 곳에 달한다. 그래서 이걸 일일이 확인하기가 어렵고 자율적으로 개인정보보호 강화조치를 해 나기를 바란다, 이런 방법을 추천한다고 합니다.
[앵커]
김대근 기자가 일일이 확인해서 알려달라 이런 얘기인가요?
[기자]
이게 정말 어려운 일이죠. 그래서 저희가 아까 말씀드렸던 시민단체에서 이렇게 자발적으로 확인을 해서 알려주고 있는 상황이기도 한데 그런데도 알려줬을 때 조치를 안 한다, 이게 더 큰 문제가 아닐까 싶습니다.
[앵커]
전혀 개인정보보호에 대해서 여러 가지 해킹 사건도 있었지만 정부의 인식은 현실과도 동떨어져 있지 의지도 없고 큰 문제점이 아닐 수 없네요. 빨리 보완대책이 필요햐것 같습니다. 김대근 기자, 수고했습니다. 고맙습니다.
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]