[단독] NIPA ‘오픈 PaaS’ 서비스 PW 암호화 안돼…유출 시 소스코드 모두 털려

정보통신산업진흥원(NIPA)의 오픈 PaaS(Platform as a Service)가 로그인 할 때 패스워드(PW) 암호화를 하지 않는 것으로 확인됐다. 이는 개인정보보호법 위반일뿐 아니라 클라우드 서비스 특성상 비밀번호가 유출되면 클라우드 상의 소스코드가 유출될 위험성이 높아 개선이 시급한 상황이다.

11일 정보화사회실천연합과 관련업계에 따르면 NIPA가 운영하는 K-ICT클라우드혁신센터 오픈 PaaS에 로그인 시 패스워드 암호화가 이뤄지지 않고 있다. 정보보호에 앞장서야 할 공공기관이 현행법을 위반하고 있는 것이다. 현행 개인정보보호법상 비밀번호와 주민번호 등 고유식별정보를 전송할 때에는 반드시 암호화가 이뤄져야 한다.

…..

또 NIPA는 국내 정보통신산업을 지원하고 진흥 기반을 조성하는 역할을 담당하는 등 국내 클라우드 산업의 중추적 역할을 담당한다. 때문에 NIPA는 국내 클라우드와 IoT 산업 활성화를 저해할 수 있는 핵심 보안 이슈들을 항상 강조해 왔다. 하지만 정작 내부 보안 관리에 소홀했다는 지적을 피할 수 없어 보인다.

손영준 정보화사회실천연합 대표는 “PaaS의 ID와 패스워드가 암호화되지 않고 전송되기 때문에 만약 유출된다면 핵심 소스코드가 유출되는 것이기 때문에 지적재산권을 모두 빼앗길 수 있는 결과가 나올 수 있다”며 “전문기관 조차도 개인정보를 소홀히 다루고 있는 것 같다”고 지적했다.

기사보기 : [단독] NIPA ‘오픈 PaaS’ 서비스 PW 암호화 안돼…유출 시 소스코드 모두 털려 2016.11.11 09:48:15