​[단독] 서울시 '시니어포털 50+서울' 암호화 미적용…보안 취약 심각

본지 제보로 현재 정상화, 공공프로젝트 최종 검수과정 개선 시급

서울시 시니어포털 로그인 화면. 보안암호화 미적용과 프로그램 오류로 임의의 아이디, 패스워드 입력시 그대로 접속됨을 볼수 있다 [사진 = 정보화사회실천연합 제공 ]

아주경제 장윤정 기자 = 서울시가 최근 오픈한 ‘시니어포털 50+서울(www.wemb.co.kr)’이 아이디, 패스워드 암호화 등 보안에 취약한 것으로 드러났다.

사이트에 암호화가 미적용된 것은 물론 임의의 아이디와 비밀번호를 이용해 접속할 경우 바로 접속이 가능해 이용자들의 피해가 우려된다.

25일 정보화사회실천연합에 따르면 서울시 ‘시니어포털 50+서울’ 사이트가 암호화를 적용하지 않는 등 개인정보보호법을 위반해 운영되고 있다.

‘시니어포털 50+서울’ 사이트는 50~60세의 예비어르신을 대상으로 인터넷과 미디어를 활용해 실질적인 통합 생활 서비스를 제공하는 사이트다.

정보화사회실천연합이 인터넷에서 누구나 구할 수 있는 패킷분석 프로그램 '와이어 샤크'로 진단한 결과 이 사이트는 암호화 조치를 하지 않아 아이디, 패스워드가 그대로 노출됐다. 

특히 임의의 아이디인 ‘usr0820, pwd0820’을 입력하자 그대로 접속이 이뤄졌다. 이는 암호화 미적용을 넘어 사이트 자체에 오류가 있음을 보여주는 증거다.

이에 대해 ‘시니어포털 50+서울’ 사이트를 구축한 업체는 프로그램에 오류가 있었음을 인정하고 수정, 보완조치하겠다고 응답했다. 현재 오류가 개선돼 정상화된 상태다. 

업체 관계자는 "해당 사이트가 아이디, 패스워드 기반으로 회원정보를 보유하는 사이트가 아니라 정보제공용 사이트이기 때문에 암호화가 미적용되어있더라도 이용자에 피해는 없다"고 말했다.

그러나 보안서버 구축 및 암호화는 법에서 정한 가장 기초적인 수단으로 이를 준수하지 않은 것은 명백한 법 위반이라는 것이 전문가들의 설명이다.

아울러 이번 ‘시니어포털 50+서울’ 처럼 프로그램에 오류가 있었다는 것을 서울시와 해당 업체가 전혀 인지하지 못했다는 것은 공공정보화사업의 관리, 감독이 형식적으로 진행되는 반증이라고 정보화사회실천연합은 전했다.

더구나 서울시의 개인정보보호 위반 사례는 이번이 처음이 아니라, 여전히 보안불감증이 심각하다는 지적이다.
 
지난 2월 6일자 본지에서 보도한 ‘서울시, 경기도 등 홈페이지 정보샌다’에서 서울시 대표 사이트가 개인정보보호법 미 준수를 고발한 바 있다.

손영준 정보화사회실천연합 대표는 "공공 정보화 사업의 관리감독이 형식적으로 이뤄지고 있다"며 "이와 같은 사례의 재발방지를 위해서라도 정보화 발주사업이 충분한 예산과 시간을 두고 검토를 거쳐 파행적으로 운영되는 것을 방지해야한다. 이는 얼마전 정부에서 발표한 소프트웨어 중심사회를 이루는 밑바탕이 될 주요 요소"라고 강조했다.