개인정보보호, 소프트웨어 정책
‘안행부 나눔포털사이트’ 등 산하기관 다수 사이트 암호화 미흡
아주경제 장윤정 기자 = 개인정보보호법의 주관 수행 부처인 안전행정부(이하 안행부) 산하 사이트들이 개인정보보호법에 따른 암호화 조치가 미흡한 것으로 드러났다.
본지 단독으로 안행부 산하 기관에 대한 개인정보보호법 준수 여부에 대한 취재 과정 중 이같은 사실이 확인됐다. 이에 대해 안행부는 ‘예산부족’을 이유로 조만간 조치하겠다고 답변했다.
그러나 개인정보보호법이 시행된 지 2년이 지난 현 시점에서, 그것도 주관 부처인 안행부 산하 기관들이 아직도 예산을 이유로 개인정보보호법을 준수하지 않는다는 것은 안전불감증을 넘어 책임 회피에 가깝다는 지적이다.
◇ 민간에는 과태료․정부 산하기관에는 ‘권고조치’만
본지가 정보화사회실천연합과 함께 안전행정부 사이트(www.mospa.go.kr)내에 표기된 산하기관․관련단체 약 19군데에 대한 조사를 실시한 결과 ‘안전행정부 나눔포털 사이트’, ‘바르게살기운동 중앙협의회’, ‘새마을운동중앙회’, ‘한국승강기안전관리원’, ‘한국옥외광고협회’ 등 다수 사이트가 비밀번호 및 주민등록번호의 암호화 구간 조치가 미흡한 것으로 나타났다.
본지가 정보화사회실천연합과 함께 안전행정부 사이트내에 표기된 산하기관․관련단체 약 19군데에 대한 조사를 실시한 결과 ‘안전행정부 나눔포털 사이트’가 비밀번호 및 주민등록번호의 암호화 구간 조치가 미흡한 것으로 나타났다
모니터링은 외부에서 개인정보보호의 척도를 확인할 수 있는 ‘개인정보의 보호조치’ 사항 중 기술적 조치에 속하는 전송구간 암호화(보안서버구축, SSL)에 대해 ‘비밀번호’ 및 ‘주민등록번호’의 암호화 준수 여부에 대해 ‘와이어샤크(네트워크 프로토콜 분석기)’를 이용, 전송패킷 수집을 통해 모니터링했다.
이에 대해 안행부 개인정보보호과 관계자는 “안전행정부 나눔포털 사이트에 암호화 조치가 미흡한 것은 사실”이라며 “예산부족으로 미처 조치하지 못했으나 기재부로부터 약 1000만원을 확보, 내년 2월말까지 암호화를 완료할 예정”이라고 답변했다.
또 한국승강기안전관리원의 경우 본지의 확인 요청을 받고 서둘러 조치를 완료했다.
한국승강기안전관리원 관계자는 “지난 9월말 사이트를 개편하며 검수 과정에서 오류가 발생한 것 같다”며 “현재 암호화 조치를 완료, 사이트의 개인정보보호법 준수 여부는 이상 없다”고 응답했다.
한국승강기안전관리원은 본지의 조사가 시작된 후 서둘러 사이트의 점검에 나서 현재 개인정보보호 암호화 조치를 완료한 상태다. 암호화 미조치 상태 당시의 확인 화면
손영준 정보화사회실천연합 대표는 “정부기관들이 개인정보보호법 시행 이후에도 이같이 안일하게 대처하는 원인으로는 첫 번째 민간에는 위반 시 과태료처분을 내리지만 행정기관 및 산하기관에 대해서는 권고조치만 이뤄지기 때문”이라고 지적했다. 또 그는 “두 번째 정보화 사업을 하면서 관련 법규를 준수했는지 관리감독을 소홀한 데서 원인을 찾을 수 있을 것”이라고 덧붙였다.
◇ 국민 위험 나몰라라․주관 부처가 모범 보여야
나아가 정보화사회실천연합과 본지는 본지의 사실 확인 요청 후 승강기안전관리원 등 일부 기관이 뒤늦게 암호화조치를 수행하며 진화에 나서자 추가 조사를 실시, ‘통합지방세정보시스템(위택스) 사이트’와 ‘중앙공무원교육원 사이트’도 개인정보보호법에 따른 조치가 미흡했음을 밝혀냈다.
정부측은 예산 확보에 어려움이 있음을 거듭 강조했다. 행안부 및 산하기관 관계자들은 “정부의 예산 상황이 여의치 않다보니 순차적으로 조치에 들어가 다소 미흡한 기관들이 발견된다”며 “예산이 넉넉하지 않아 지원할 수 있는 사이트에 한계가 있다”고 어려움을 토로했다.
허나 정부가 예산 타령을 하는 사이 관련 사이트를 이용하는 국민들은 개인정보가 노출될 수 있는 위험에 처했다. 이번 조사에서 개인정보 암호화 미조치 사이트로 지적된 몇몇 사이트의 경우 이용자의 주민등록번호가 사이트에서 그대로 보여 지는 경우도 발견됐다.
본지는 안전행정부 산하 기관, 관련 사이트에 대한 개인정보보호법 준수 여부 조사 중 ‘중앙공무원교육원’ 등 몇몇 기관의 개인정보보호 암호화 미조치 현황을 추가로 조사, 확인했다.
손 대표는 “외부에서 개인정보가 노출되는 것은 물론 내부업무 정보시스템의 사용자 아이디 및 비밀번호도 암호화해 처리되고 있는지 우려하지 않을 수가 없다”며 “만약 미 준수되고 있다면 접근권한이 없는 사용자(공무원, 외부인력 등)가 해당 정보에 접근 가능, 개인정보의 외부 유출 등 더 큰 위험이 발생할 가능성도 배제할 수 없다”고 우려했다.
옥션 1800만명, SK커뮤니케이션즈 3500만명, 넥슨 1320만명 등 세계 유례없는 대규모 개인정보 유출 사고를 겪은 국내에서, 그것도 개인정보보호법의 주관 수행 부처인 안행부조차 산하 기관에 대한 관리, 감독 소흘을 예산탓으로만 돌리는 현실에 대해 자성이 시급하다는 지적이다.
손 대표는 “개인정보보호법이 시행된 지 2년이 지난 현시점에서 주관부처인 안행부 산하 사이트조차 개인정보보호법을 준수하지 않았다는 것은 심각한 문제”라며 “정부가 산하 기관의 개인정보보호법 준수 조치를 완료하지 않은 상황에서 민간 기관에 법을 지킬 것을 강제한다면 과연 그와 같은 지적이 효력을 발휘할 수 있을지 의문”이라고 강조했다.
한편 정보화실천연합은 정부기관의 개인정보보호법 조사 여부에 대해 지속적으로 각성을 촉구해왔다. 이 단체는 개인정보보호법 시행 2주년을 기념해 ‘기획재정부장관이 지정한 공공기관’ 중 올해 3월 조사에서 미 준수로 나타난 99개 공공기관에 대해 10월 재조사를 실시한 결과 비밀번호와 주민번호 미 준수기관이 27개 기관에 달한다고 밝힌 바 있다(본지 10월 14일자 참조).
기사보기 : <단독>안행부 개인정보보호 주관 부서 맞나?..주민번호 그대로 노출 2013-11-18 09:15