NEWS‎ > ‎

[디지털타임즈] 행자부, 개인정보 관리 `구멍`

게시자: 김성진, 2015. 4. 7. 오후 7:28   [ 2015. 4. 7. 오후 7:28에 업데이트됨 ]
2015년 03월 10일



 75만건이 부정발급 된 공공아이핀 사고는 주무부처인 행정자치부와 한국지역정보개발원의 운영 및 관리 부실과 시스템 결함 등이 복합적으로 작용해 발생한 사태인 것으로 드러났다. 행자부는 현재 개인정보보호 업무를 주관하는 부처로, 공공아이핀 발급을 담당하고 있는데 이번 사고로 인해 관리 역량에 심각한 의문이 제기되고 있다.

 행자부는 지난 9일 긴급 브리핑을 열고 공공아이핀 부정발급 사고 원인을 추가로 밝혔다. 김석진 행자부 공공서비스정책관은 "부정발급이 되는 시점에 제대로 된 모니터링만 이뤄지고 있었어도 75만건이나 대량 부정발급 되는 사태는 없었을 것"이라며 "(행자부와 지역정보개발원의)관리 부실 측면이 있다"고 설명했다.

 공공아이핀 시스템은 공공기관 보안성 점검 기준에 따라 매년 두차례씩 취약점 점검을 받도록 돼 있는데, 지난 연말 취약점 점검 등을 거쳤다. 하지만 이번에 문제가 된 파라미터 위변조 등의 취약점은 발견하지 못했다. 이에 대해 김 국장은 "정기적으로 진행되는 취약점 점검은 체크리스트로 패키지 화 돼 있어 이에 해당하는 부분만 취약점이 발견되고, 그렇지 않은 부분은 발견하기 어렵다"고 밝혔다. 정기적으로 진행하는 취약점 점검이 사실상 관행적으로 이뤄지는 점검일 뿐 실제 사이버 공격에는 무력화 됐다는 의미로 풀이된다.

이번 공공아이핀 대량 부정발급 사태로 인해 행자부가 개인정보보호 주무부처로서 역량을 제대로 갖췄는지 의심스럽다는 지적도 나온다.

 현재 행자부는 정보통신이나 금융을 제외한 분야의 개인정보보호 관련 정책을 담당하고 있다. 방송통신위원회가 정보통신분야, 금융위원회가 금융 분야를 맡고 있으며 미래창조과학부에서 사이버 침해사고 등을 담당한다. 그간 대규모 개인정보 유출 및 사이버 사고가 반복적으로 발생할 때마다 관련 주무부처가 분산돼 있어 사고 대응이 쉽지 않고 정책의 일관성이 없다는 점이 도마에 오른 것도 이 때문이다.

 김승주 고려대 정보보호대학원 교수는 "인증 데이터 위변조 시나리오가 가능하다는 시점에서 공공아이핀 발급 체계는 이미 무너졌다고 봐야 한다"면서 "애당초 주민등록번호의 대안 수단을 장기적 관점에서 검토하지 않고, 유출된 개인정보로 '돌려막기'식 인증을 하다보니 결국 발생한 문제"라고 꼬집었다.

강은성기자 = esther@dt.co.kr

원문= http://www.dt.co.kr/contents.html?article_no=2015031002109960800001