[취재현장] 국토부의 어이없는 해명 '비밀번호 암호화 미조치는 개인정보보호법 위반입니다'

장윤정 정보과학부

아주경제 장윤정 기자 = 국토교통부가 15일자 본지 단독 '국토부, 자동차민원관리 포털 모바일 버전에서 여전히 개인정보 줄줄' 제하의 기사에 대해 당일 오후 해명자료를 내놨다. 

'마이카 정보 앱'을 통한 개인정보 유출이 없었다는 내용이 골자다.

국토부는 마이카 정보 앱은 개인정보를 보유하고 있지 않아 이를 통한 개인정보 유출이 없었고 동일 와이파이망 내에서 특정사업자 접속을 해킹하는 경우에 한해 아이디, 패스워드 탈취가 가능한 취약점이 발견돼 통신패킷 암호화 조치를 적용했다고 밝혔다.

그러나 어찌된 일인지 기자와 직접 통화에서는 이와 다른 말이 오갔다. 

마이카 정보 앱이 앱 자체로는 개인정보를 보유하고 있지 않기 때문에 아이디, 비밀번호가 탈취되어도 개인정보가 보여지지 않는다는 설명이었다. 하지만 아이디와 비밀번호는 웹과 앱에서 같이 사용된다. 앱 아이디, 비밀번호 따로 웹 아이디 비밀번호 따로 설정하지 않는다.

따라서 앱의 아이디와 비밀번호가 노출되면 이를 그대로 웹에서 적용할 경우 개인정보가 그대로 노출되는 셈이다. 인터넷에서 간단히 구할 수 있는 분석툴 '와이어샤크'로 들어다보면 앱 상에서 타인의 아이디와 비밀번호를 탈취할 수 있고 이 정보로 웹에서 접속 시 차량 소유자의 차량번호, 주소, 핸드폰번호 등 각종 개인정보를 모두
유용할 수 있다.

그러나 국토부에서는 이같은 내용을 이해할 수 없는지, 이해하려 하지 않는지 무조건 개인정보 유출이 없었다는 말만 앵무새처럼 되풀이 했다. 비밀번호 암호화 미조치는 개인정보보호법 위반이라는 지적에 "앱상에서 비밀번호가 암호화되지 않고 있는 것은 사실이니 조치하겠다"는 말로 꼬리를 내렸다.

하지만 다시 뒤돌아서서는 변명조의 해명자료를 배포했다. 

국토부는 지난달 자동차이력관리사업자 포털에서 개인정보가 유출돼 자동차 소유주 2000만명의 개인정보가 유출되고 있다는 보도가 나간 후에도 비슷한 대응으로 일관해 빈축을 샀다.

개인정보 유출 보도를 전면 부인하는 해명자료를 배포해 책임회피에만 나섰기 때문이다. 사실을 인정하지 않고 변명과 빠져나가기에만 급급한 행태는 개인정보 유출사고가 되풀이되는 원인이다.

손바닥으로 하늘을 가리려고하는 국토부가 개인정보 유출 사고가 발생한 후에는 또다시 어떤 변명을 내놓을지 궁금해진다.

보안의 취약성에 대해 지적받았으면 고개 숙여 반성하고 다음 단계를 논의해 리스크를 제거하는 것이 진정한 의미의 예방일 것이다.

안일한 대응 하나가 최근 본격 현장 행보에 나서고 있는 서승환 국토부 장관에 생채기를 낼 수도 있다는 것을 곱씹어 봐야 한다.