CBS는 2회에 걸쳐 우리나라 인터넷 사이트들의 허술한 개인정보 보호문제를 집중 보도한다. 28일 첫 번째 순서로 ''허술한 개인정보 보호 실태''를 고발한다. [편집자 주]
CBS가 접속순위 150위까지의 인터넷 사이트를 분석한 결과 KTF, LG텔레콤, 롯데홈쇼핑 등 절반 이상의 사이트에서 개인정보가 줄줄 새고 있었다. 더 심각한 것은 해커 수준이 아닌 일반인이라도 간단한 조작만 하면 남의 개인정보를 쉽게 빼낼 수 있다는 점이다.
그러나 네이버와 다음 등 10대 대형 포탈사이트 등은 일단 안전한 것으로 확인됐다.
ss
◈ 회사원 유 부장의 컴퓨터에서 개인정보 ''줄줄''회사원 유 모 부장은 오늘도 어김없이 사내 메일망에 접속해 새로 들어온 이메일을 열어본다.
같은 시각, 이 회사의 한 휴게실에서는 한 남성이 사내 망에 접속해 유 부장의 컴퓨터 사용 내용을 엿보고 있다. 단 5분 만에 유 부장 이메일의 아이디와 패스워드를 알아낸 뒤 유유히 사라진다.
이 남성이 해킹에 사용한 프로그램은 인터넷에 무료로 돌아다니는 패킷 분석기와 IP, 게이트웨이 추적기 단 두 개뿐이다.
유 부장은 ''컴퓨터가 좀 느리다''는 생각만 했지, 자신의 컴퓨터가 해킹된다는 사실을 전혀 알아차리지 못했다. 가상의 상황이 아니다. 실제 CBS 취재진이 한 회사의 사내망을 이용해 지난 27일 해킹시연을 해본 결과를 재구성한 것이다.
이처럼 손쉬운 해킹이 가능한 것은, 사내 이메일 망에서 개인 정보가 ''평문(plain text)''으로, 즉 암호화(cipher text) 기술이 적용되지 않은 채 전송됐기 때문이다.
해커가 아닌 컴퓨터에 관심이 있는 사람이면 누구든지 간단한 교육만으로도 평문 패킷(packet 온라인 상에서 정보 전달 단위 중 하나)을 가로챌 수 있다.
빼 낸 아이디와 패스워드로 해당 사이트에 접속만 하면 곧바로 주민등록번호와 핸드폰 번호 등 개인을 직접 식별할 수 있는 정보의 유출로 이어지게 된다.
◈ 최상위 150개 사이트 중 50% 이상 개인정보 노출더 심각한 문제는 KTF와 롯데홈쇼핑 등 국내 접속 빈도가 높은 상당수 사이트에서 이런 허술한 보안상태가 확인됐다는 사실이다.
CBS가 인터넷 순위분석 사이트 ''랭키닷컴''을 기준으로 방문자 수가 많은 상위 150개 사이트를 분석한 결과, 전체 사이트의 53%에서 로그인 시 개인정보가 고스란히 빠져나가고 있는 것으로 확인됐다. 아예 ID와 패스워드가 한꺼번에 노출되는 경우도 5개에 1개 꼴(17%)로 나왔다.
개인정보 취급에 특별히 주의를 기울여야 할 ''LG텔레콤''은 사용자 쿠키(cookie 임시 저장정보)에 아이디와 패스워드가 그대로 남아 있었고 음악사이트 ''소리바다''와 동영상 전문사이트 ''유튜브'' 등 십여 개 사이트 역시 다를 게 없었다.
LG텔레콤에서는 지난 4월 말에도 300명 이상의 고객정보를 유출시켰는데 불과 한 달 만에 다시 개인정보 관리에 허술함을 드러낸 셈이다.
온라인 거래가 주목적인 쇼핑사이트와 게임아이템거래 사이트도 사정은 마찬가지였다.
''롯데홈쇼핑''에서는 로그인 시 사용자 ID와 패스워드가 노출됐고 도서구매사이트 ''YES24'', 온라인 백과사전 ''위키피디아'', 게임아이템거래사이트 ''아이템매니아'' 등 10여 개 사이트에서 비슷한 일이 벌어졌다.
◈ ''앞문은 막고, 뒷문은 열어둔다?'' 하나마나한 보안더 심각한 문제는 국내 사이트들이 형식적인 보안조치에만 급급하다는 점.
''KTF''와 ''잡코리아'' 등 수십 개 사이트에선 로그인할 때는 보이지 않던 개인정보가 정작 개인정보를 수정할 때는 고스란히 노출되는 황당한 일도 벌어졌다.
[BestNocut_R]음악사이트 ''멜론'', 파일공유사이트 ''프루나'', 부동산 사이트 ''부동산114'' 등 전체 사이트의 26%에서 아이디와 패스워드가 고스란히 개인정보 수정 시 평문으로 전송되고 있었다.
개인정보 수정시 아이디가 노출되는 ''동아닷컴'', ''하나포스닷컴'', ''아프리카'' 같은 사이트의 경우까지 합하면 전체 사이트의 51.8%에서 개인정보 수정 시 정보가 평문으로 보내졌다.
심지어 ''KTF''와 자동차사이트 ''보배드림'', ''부동산114'', ''위즈위드'' 등 일부 사이트의 경우, 개인정보 수정 시 아이디와 패스워드 뿐만 아니라 주민등록번호, 휴대폰 번호 등 치명적인 수준의 개인정보가 노출됐다.
이같은 내용을 알아내는데는 포털 공개자료실에 올라있는 2개의 프로그램, 그리고 한 두 시간 정도의 인터넷 검색만이 필요할 뿐이었다.
| ''구멍 뚫린'' 해당 업체들의 변명은? |
해당 업체 관계자들의 반응도 다양했다.
KTF관계자는 처음에는 "취재기자의 실수가 있었을 것"이라는 해명을 하다 취재가 들어간지 단 3시간 만에 "문제가 곧 해결될 것"이라는 통보를 CBS 측에 알려왔다.
LG텔레콤은 "보안에 실수가 있었던 점은 인정한다"이라면서도 "구조적인 문제는 아니고 보안모듈을 강화하는 과정에서 생긴 담당자의 착오라는 점을 이해해 달라"고 해명했다.
잡코리아 홍보실 관계자는 "최근 사이트 보안을 강화하는 과정이었다"며 "지금도 작업 중에 있기 때문에 하루 이틀 내로 작업이 완료될 것"이라고 밝혔다.
소리바다 관계자는 "곧 수정이 될 것"이라면서도 "취재하려는 의도가 뭐냐"며 "우리도 모르고 그랬던 것"이라는 신경질적인 반응으로 일관했다.
해명을 확인하는 과정에서 드러난 사실은 상당수 사이트들이 ''하루 이틀''사이에 보안조치를 할 수 있는 여건을 갖추고 있었음에도 지금까지 보안조치에는 무관심했다는 것이다.
정부는 이미 관련 법 고시를 주요 업체에 통보했고 수 차례에 걸쳐서 계도를 실시해왔지만 정작 일선 사이트들은 이를 철저히 무시해 왔던 셈이다. |