검색엔진 인증우회 못막아, 관리자 인식부족 노출 방치

공공기관 개인정보 왜 샜나

청와대를 비롯한 정부 부처와 입법·사법기관, 지자체, 교육·의료기관에 이르기까지 무려 452곳에 이르는 공공기관의 홈페이지에 5400여건의 개인정보가 노출된 사건은 공공기관 홈페이지의 시스템 결함과 더불어 개인정보의 중요성에 대한 해당 공공기관들의 인식부족 탓인 것으로 밝혀졌다.

29일 정보통신부와 보안업계 전문가들의 말을 종합하면, 개인정보 노출 사례 가운데 가장 큰 비중을 차지하는 게시판의 정보 노출은 대부분 각 기관별 홈페이지의 내부시스템 결함 때문이었다. 구글의 검색엔진은 모든 홈페이지에 들어갈 때 정식 로그인 절차를 우회하는 ‘인증우회’ 방식으로 접근해 필요한 정보를 긁어가는데, 개인정보를 버젓이 드러낸 공공기관 홈페이지에는 이런 인증우회를 막는 시스템을 갖추지 못했다는 것이다. 일반적인 포털의 검색엔진은 전체 로그인 절차와는 별도로 일일이 해당정보별 인증·권한확인 절차를 거치면서 홈페이지 안의 정보를 가져가도록 설계되어 있다.

보안전문가들은 공공기관 사이트들이 로그인 절차를 갖추고 있음에도 개인정보가 노출된 것은 인증·권한확인 절차의 누락이 원인이라고 설명했다. 행정자치부처럼 비공개 문서의 내려받기가 가능했던 것도 홈페이지 내에 파일처리에 관한 인증·권한확인 절차를 두지 않았기 때문인 것으로 추정했다. 안철수연구소 여성구 전임컨설턴트는 “기술적인 측면에서 게시판의 ‘사용자 모드’로 내부 관리자만 접근이 가능하도록 하거나 쓰기, 수정, 보기 등의 각 단계마다 일일이 보안을 걸어둬야 한다”며 “특히 관리자와 게시자만 볼 수 있게 만든 게시판의 경우에는 더욱 그렇다”고 말했다.

공공기관 관리자들의 개인정보 보호에 대한 인식 부족은 더 큰 문제라고 전문가들은 지적한다. 특히 노출빈도가 많은 민원게시판에는 민원인이 사실확인과 응답을 기대하며 주민등록번호와 휴대전화 번호 등을 무심코 올리는데, 이런 중요한 개인정보들을 민원접수 기관이 몇개월째 그대로 방치해둔 사례가 많았다. 개인정보보안연구소 킵스랩 백승호 대표는 “주민등록번호나 은행계좌번호와 같은 개인정보가 입력되었을 때는 다른 문자로 자동전환된다던지, 입력이 불가능하도록 하는 기술적 조치를 할 수도 있지만 개인정보 보호는 우선 관리자의 철저한 보호의지가 관건”이라고 말했다.

행정자치부 전자정부본부의 임상규 제도정책팀장은 “각 기관별 정보담당관들이 일일이 체크하기 힘들만큼 많은 개인정보가 들어있는 공문서들이 올라가 있는 게 사실”이라며 “관계 공무원들에 대한 인식제고 노력과 함께 정밀 실태점검을 다시 진행할 것”이라고 말했다. 정보통신부의 정현철 개인정보보호팀장도 “보다 근본적으로 웹사이트에 주민등록번호 등을 쓰지 않도록 하는 방안을 검토해야 한다”고 말했다.

하어영 기자 haha@hani.co.kr