정보화사회실천연합이 서울시 홈페이지 로그인 페이지에 임의로 아이디와 비밀번호를 입력해 패킷분석 프로그램으로 분석하니 개인정보가 암호화되지 않은 채 전송되고 있다. (사진=정보화사회실천연합)
1억 400만 건의 개인정보가 카드 3사를 통해 유출돼 국민 불안이 증폭된 가운데, 서울시를 비롯한 주요 광역 지방자치단체 홈페이지에서도 개인정보 유출 가능성이 높은 것으로 확인됐다.
특히 개인정보보호법에는 개인정보가 전송될 때 유출되지 않도록 암호화하도록 규정돼 있지만 이를 어긴 것으로 나타났다.
시민단체 정보화사회실천연합(정실련)은 16개 지자체 홈페이지를 분석한 결과 가입이나 로그인 페이지에서 개인정보를 전송할 때 암호화가 적용되지 않는 사례를 발견했다고 6일 밝혔다.
이런 '구간 암호화'가 적용되지 않은 지자체 홈페이지는 서울시, 경기도, 경상남도, 제주도로 파악됐다.
정실련은 지난달 31일 인터넷 패킷 분석 프로그램인 '와이어샤크'를 이용해 분석한 결과 이름과 주민등록번호, 아이디와 비밀번호 등이 암호화되지 않은 채 전송되는 사실을 발견했다.
서울시 홈페이지 회원가입 페이지에 임의로 이름과 주민등록번호를 입력해 패킷분석 프로그램으로 분석하니 개인정보가 암호화되지 않은 채 전송되고 있다. (사진=정보화사회실천연합)
서울시 홈페이지에는 로그인 페이지와 회원가입 본인확인 페이지에서 각각 아이디와 비밀번호, 이름과 주민등록번호가 암호화되지 않은 채 전송되고 있었다.
경기도 홈페이지에서는 로그인 페이지와 비회원 로그인 페이지에서 각각 아이디와 비밀번호, 이름과 주민등록번호가 암호화되지 않았다.
경상남도와 제주도는 로그인 페이지에서 아이디와 비밀번호가 암호문이 아닌 평문으로 전송되고 있었다.
아이디와 비밀번호 등 개인정보가 암호화되지 않은 채 전송되고 있는 경기도 홈페이지. (사진=정보화사회실천연합)
1주일이 지난 5일 오후 6시까지 서울시와 제주도의 로그인 페이지는 암호화가 적용됐지만 나머지는 고쳐지지 않았다.
개인정보보호법 24조 3항에는 '고유식별정보를 처리하는 경우 해당 정보가 유출되지 않도록 암호화 등 안전성 확보에 필요한 조치를 해야 한다'고 규정돼 있다.
암호화하지 않을 경우 패킷 캡처 프로그램을 이용하면 손쉽게 입력한 개인정보를 볼 수 있다.
인터넷 회선을 통로에 비유하자면, 개인정보가 이동하는 통로는 불투명하게 처리돼야 하지만 이들 지자체의 경우 유리 통로로 처리해 내부를 훤히 들여다 볼 수 있는 셈이다.
한국인터넷진흥원 관계자는 "개인 컴퓨터에 악성코드가 심어져 있을 경우 패킷을 중간에 쉽게 가로챌 수 있다"면서 "암호화가 되지 않았다면 개인정보가 고스란히 노출된다"고 설명했다.
아이디와 비밀번호 등 개인정보가 암호화되지 않은 채 전송되고 있는 경상남도 홈페이지 로그인 화면. (사진=정보화사회실천연합)
따라서 서울시와 경기도, 경상남도, 제주도는 현행법을 위반했음은 물론, 개인정보 유출 가능성을 방치한 셈이다.
문제는 이런 개인정보 전송 구간 암호화가 미비한 공공기관 웹사이트가 한두 군데가 아니라는 점이다.
정실련은 지난해에도 안전행정부(당시 행정안전부) 일부 홈페이지와 공공기관 등 모두 60여 개 홈페이지에서 암호화를 하지 않았다는 사실을 발견해 한국인터넷진흥원에 신고했다. (지난해 2월 19일자 CBS노컷뉴스 <새누리당 등="" 주요="" 정당="" 홈페이지에서도="" 개인정보="" 샌다=""> 참조)
아이디와 비밀번호 등 개인정보가 암호화되지 않은 채 전송되고 있는 제주도 홈페이지 로그인 화면. (사진=정보화사회실천연합)
그 결과 주무부처였던 행정안전부 개인정보보호과는 신고된 사이트 가운데 80%에서 문제가 있다고 판단해 '개선권고' 조치했다.
앞서 지난 1월 말 카드사 개인정보 유출 대란 당시 NH농협카드 개인정보 유출 확인사이트에서도 이 같은 암호화가 이뤄지지 않아 2차 개인정보 유출 위험이 있다는 문제가 제기돼 농협 측이 부랴부랴 수정하는 일도 있었다.
정실련 손영준 대표는 "최악의 개인정보 유출 사태가 심각한 사회문제로 대두하고 있는 상황에서 일부 지자체에서 개인정보보호법을 준수하지 않고 있었다"면서 "해당 지자체의 개인정보 보호 의식 결여가 심각한 수준"이라고 비판했다.