[단독] KISA, 무리한 암호 수집.. 유출시 '대량 해킹' 우려

최진주 2014. 12. 1. 15:37
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
웹사이트 관리자 ID 비번 서면으로 받아 '물의'

"주민번호 대신 지워주겠다... 안 하면 과태료"

인터넷 지식 부족한 영세 쇼핑몰ㆍ병원 등에 대행업체 통해 요구

최근 서울 시내 A병원 원장은 한국인터넷진흥원(KISA)으로부터 이메일을 받았다. 이메일에는 "A병원 웹사이트를 보니 회원 주민번호를 수집하고 있다"며 "개정된 정보통신망법 제23조에 따라 인터넷에 주민번호를 보관하면 처벌된다"고 쓰여 있었다. 겁이 나서 이메일에 나와 있는 번호로 전화를 걸어보니 "KISA에서 아직도 주민번호를 보관하고 있는 업체에 대해서는 무료로 주민번호를 대신 지워주니, 보내주는 양식에 관리자 아이디와 비밀번호를 적어서 다시 보내라"고 말했다.

한국인터넷진흥원(KISA) 명의로 보낸 주민번호 파기 기술지원을 위한 서버접속 정보 기입 양식. 서버와 데이터베이스 접속과 수정이 가능한 관리자 아이디와 비밀번호를 모두 입력하도록 돼 있다. 한국일보 입수자료/2014-12-01(한국일보)

해킹을 방지하는 정보보호기관 KISA가 중소 웹사이트를 운영하는 사업자들을 대상으로 서버 접속을 위한 관리자 정보를 서면으로 요구하고 있다. 이렇게 모은 관리자 정보가 유출될 경우 자칫 수천 개의 웹사이트가 해커의 손에 날아갈 수도 있어 파문이 예상된다.

한국일보가 입수한 KISA 명의의 '기술지원을 위한 서버접속 정보 기입양식'에는 웹사이트 운영자의 이름과 연락처 등 개인정보는 물론 홈페이지 도메인 주소, 개발언어, 관리자 모드 주소, 관리자 아이디 및 암호, FTP 접속 주소, FTP 아이디 및 암호, DB 접속주소, DB 이름, DB 아이디 및 암호 등 웹사이트에 접속해 모든 일을 할 수 있는 관리자 권한을 기입하도록 돼 있었다.

취지는 관리가 취약한 영세 사업자가 웹사이트에 보관하고 있는 데이터베이스에서 회원 주민번호 부분을 지워줌으로써 과태료가 부과되는 것을 막아준다는 것. 하지만 문제는 이런 관리자 아이디와 비밀번호를 서면으로 취합해 보관한다는 것이다. 특히 이 사업은 KISA가 대행업체를 선정해 진행하고 있는데, 대행업체가 보관한 정보가 추후 유출되지 않으리라는 보장이 없다고 전문가들은 지적한다. 보통 해커는 이런 관리자 권한을 탈취하기 위해 성인 사이트나 웹하드 사이트 등에 교묘하게 악성코드를 심는 방법을 사용하는데, 공식적으로 수집한 이 정보를 입수하면 그럴 필요조차 없이 국내의 관리가 취약한 수천 개 사이트를 장악하게 되는 셈이다.

KISA로부터 선정된 대행업체가 KISA를 사칭하는 것도 문제다. 양식에는 'KISA 주민번호 파기 기술지원팀'이라고 표시돼 있고, 전화를 걸어도 "한국인터넷진흥원입니다"라며 전화를 받는다. 뿐만 아니라 양식을 적어 보내지 않으면 큰 처벌을 받는 것처럼 고압적인 분위기를 조성하기도 한다. 양식에는 "무료 기술지원 사업은 2014년 12월 31일까지이므로 대기 물량이 많아 최대한 신속히 접속 정보를 주셔야 한다"며 빨리 신청할 것을 종용하고 있다. KISA에 따르면 현재 '회원 가입 화면에서 주민등록번호 수집 창 삭제' 기술지원을 받은 업체는 총 9,900여 곳, '데이터베이스에서 주민등록번호 파기' 지원을 받은 업체는 총 9,000여 곳에 이른다. 두 서비스를 받은 업체가 상당수 겹친다 하더라도 1만 곳이 넘은 업체들이 관리자 정보를 제공한 셈이다.

주민번호 미수집 및 파기 기술지원사업 공식 홈페이지. 기술지원을 신청하면 관리자 권한을 요구한다./2014-12-01(한국일보)

관리자 정보 유출 시 심각한 해킹 사고가 발생할 수 있다는 지적과 관련, KISA 관계자는 "영세 사업자들은 직접 주민번호 데이터베이스 삭제를 못하기 때문에 직접 기술지원을 해 줄 수밖에 없다"면서 "관리자 정보 유출 등의 피해를 방지하고자 대행업체와 계약을 맺을 때 정보보호 원칙을 계약서에 철저하게 반영하고, 실제 작업자 개인에게도 '보안서약서'를 받으며, 업체의 기술지원이 끝난 후에는 해당 정보를 파기했다는 '파기 확인서'를 받고 있다"고 해명했다.

하지만 정보보호 업계는 애초에 관리자 권한을 수집하는 것 자체가 잘못됐다는 의견이다. 익명을 요구한 보안업체 관계자는 "만약 서면으로 모은 정보가 유출이라도 된다면 웹사이트가 해킹 당하는 것은 시간 문제"라면서 "주민번호 삭제를 하지 못하는 사이트가 있다면 KISA가 방문을 해서 방법을 알려준다든지 해야지 직접 관리자 정보를 수집하고 대행해 준다는 것은 해서는 안 될 일"이라고 말했다.

또다른 업체 관계자는 "이런 식으로 아무한테나 전화 걸어서 KISA를 사칭하고 관리자 정보를 달라는 피싱(사기)이 유행할 수 있다"면서 "관리자 아이디와 비밀번호를 누군지도 모르는 사람에게 전달한다는 것 자체가 보안 상식을 벗어났다"고 지적했다. 이 관계자는 "아무리 서약서를 썼다 해도 위탁업체가 관리자 권한으로 주민번호 지우는 일만 할지, 남몰래 다른 프로그램을 심을지 어떻게 아느냐"면서 "위탁업체가 받은 서면 정보가 유출되지 말라는 법도 없다"고 우려했다.

최진주기자 pariscom@hk.co.kr

Copyright © 한국일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
한국일보에서 직접 확인하세요. 해당 언론사로 이동합니다.