[단독] 서울시 와우 2.0 사이트에서도 '개인정보 줄줄 새'

'모르거나 안하거나' 서울시 보안 불감증 여전

서울시 와우 2.0 사이트의 커뮤니티로 접속 시 암호화 미적용으로 아이디, 패스워드가 드러남을 볼 수 있다 [사진 = 정보화사회실천연합 제공 ]

아주경제 장윤정 기자 = 서울시가 운영하는 시민 커뮤니티 사이트 '와우 2.0'이 암호화 등 보안이 적용되지 않아 보안에 무방비하다는 사실이 드러났다. 와우 2.0 사이트는 홈페이지 상단의 로그인 버튼을 누룰 경우 암호화가 적용되지만 커뮤니티 사이트를 통해 로그인할 경우 암호화가 적용되지 않았다. 정문을 닫아두고 뒷문을 열어 해커를 초대하는 꼴이다. 

특히 서울시의 개인정보보호 위반 사례가 끊이지 않아 보안불감증이 만연한 것으로 나타났다. 

최근 오픈한 '서울시 시니어포탈 +50' 역시 암호화를 준수하지 않아 개인정보 노출 가능성이 높은 것으로 확인됐으며[본지 8월 25일 단독 보도] 앞서 본지 2월 6일자 ‘서울시, 경기도 등 홈페이지 정보샌다’ 제하의 기사에서도 서울시 대표 사이트들의 개인정보보호법 미 준수를 고발한 바 있다.

서울시 4개 구청 강남구청ㆍ서초구청ㆍ 송파구청ㆍ은평구청 홈페이지의 암호화 미적용 사례도 지난 3월 본지가 밝혀냈다. 

1일 정보화사회실천연합에 따르면 서울시 '와우 2.0’ 사이트가 암호화를 적용하지 않는 등 개인정보보호법을 위반해 운영하고 있는 것으로 나타났다. 

'와우 2.0'은 시민 누구나가 자유롭게 사진 등의 콘텐츠를 올릴 수 있는 콘텐츠 무료장터를 표방하는 시민 콘텐츠 사이트다. 

인터넷에서 누구나 구할 수 있는 패킷분석 프로그램 '와이어 샤크'로 진단한 결과 이 사이트는 암호화 조치를 하지 않아 아이디, 패스워드가 그대로 노출됐다. 특이한 점은 정식 로그인 화면을 통해 로그인 시 암호화가 적용되지만 사이트 내 커뮤니티란을 통해서도 로그인이 가능한데 커뮤니티 코너를 통해 로그인하면 암호화가 적용되지 않는 다는 점이다. 

이는 사이트 검수 시 전체를 꼼꼼히 살피지 않고 드러나는 겉면만 대충 검수한 때문이다. 시니어 포탈+50에 이어 와우 2.0 역시 암호화 처리에 문제가 있음이 드러난 것은 사이트를 오픈 하기 전 검수 과정에 문제가 있다는 반증이다. 

국내 한 보안 전문가는 "해커는 사이트 전체를 스캔해 취약성을 찾는다"며 "정식 로그인 과정만이 아니라 내부에 다른 로그인 통로를 만들어두었다면 당연히 전체에 암호화를 적용해야 안전하다. 해커는 오히려 뒷문을 더 선호한다"고 말했다.
 

관련전문가들은 공공 정보화 사업의 관리 감독이 사이트 전체의 취약성을 감안, 이를 보완하도록 진행되는 것이 아니라 형식적으로 이뤄지고 있다고 입을 모았다. 이 같은 사례의 재발 방지를 위해서라도 정보화 발주 사업이 충분한 예산과 시간을 두고 파행적으로 운영되지 않도록 주의해야 한다는 것. 

특히 최근 서울시가 운영하는 사이트에서 잇딴 취약성이 발견되고 있어 서울시의 정보화 사업 전반에 대한 재검토가 시급하다는 지적에 무게가  실리고 있다.