[단독]인수위, 대통령 취임식 신청자 개인정보 암호화 '누락'...법률 '위반
'
2013-02-22 07:00 | CBS 이대희 기자
25일 열리는 대통령 취임식에 국민 8만 9,000여명이 참석을 신청해 대통령인수위원회 홈페이지에서 추첨결과를 확인할 수 있다.
결과 확인에 이름과 주민등록번호를 입력해야하기 때문에 암호화 작업이 법적으로 규정돼 있지만 인수위가 법을 지키지 않다가 CBS노컷뉴스의 취재로 부랴부랴 수정작업을 벌였다.
박근혜 대통령 당선인은 오는 25일 서울 여의도 국회의사당에서 제18대 대통령으로 취임한다.
취임식에 일반 국민 3만 5,000여명을 초청하는데 지난달 21일부터 27일까지 인터넷과 우편을 통해 무려 8만 9,000여명이 신청해 결국 추첨으로 참석자를 정했다.
인수위는 지난 16일부터 홈페이지(https://www.korea2013.kr)에서 인터넷과 우편 신청자 모두에게 결과 조회란에 이름과 주민등록번호 입력을 받아 당첨자를 확인해주고 있다.
개인정보보호법 제24조에는 "고유식별정보가 분실·도난·유출·변조 또는 훼손되지 않도록 암호화 등 안전성 확보에 필요한 조치를 해야한다"고 규정하고 있다.
하지만 CBS노컷뉴스의 의뢰로 정보화사회실천연합(이하 정실련)이 조사한 결과 인수위는 이런 규정을 어기고 있었다.
지난 19일 정실련이 패킷 분석 프로그램인 '와이어샤크'를 이용해 분석한 결과 당첨자를 확인하는데 필수적으로 입력해야 하는 이름과 주민등록번호가 암호화되지 않은 채 전송되는 사실을 발견했다.
인수위는 CBS노컷뉴스의 취재가 들어가고 정실련이 행정안전부에 민원을 넣은 지난 20일 오후에서야 부리나케 암호화를 적용했다.
인수위 관계자는 "파악한 결과 (당첨자 발표를 하는) 16일 작업을 하다 오류가 있어 누락이 있었다"면서 "닷새 동안 암호화가 안 돼 있었지만 해킹 등 문제는 없던 것으로 보고 받았다"고 해명했다.
인수위는 이번 사건으로 취임식 참가 신청자의 개인정보가 유출되지는 않았다고 밝혔지만 결국 닷새 동안 대문을 활짝 열어놓았던 셈이다.
전문가들은 인수위의 어이없는 조치로 개인정보가 유출됐을 가능성이 없다고 단정할 수는 없다고 입을 모았다.
신종홍 숭실사이버대 정보보안학과 교수는 "전송 구간이 암호화되지 않을 경우 특정 프로그램을 이용하면 너무도 쉽게 정보를 확인해 유출할 수 있다"고 설명했다.
임채호 카이스트 정보보호대학원 교수는 “웹 서버의 경우 악성코드가 침입한다면 전송 구간 암호화 전에도 정보를 빼낼 수 있다”며 “실제 정보를 취급할 때부터 암호화가 되어야 한다”고 덧붙였다.
정보보안업체 위너다임 문건환 선임연구원은 "네트워크 '스푸핑' 기술을 이용하면 패킷을 잡을 수 있다"면서 "이 때 암호화되지 않으면 사용자의 정보를 확인할 수 있다"고 지적했다.
***
내가 취재한 부분이 들어간 첫 기사. 전문가들 멘트 따는 거였는데, 그게 그렇게 힘들었다.