개인정보보호, 소프트웨어 정책
道와 시·군 인터넷 망분리 안해 침투 ‘유리벽’
내부 열람 권한많은 고위 공직자 PC 감염땐 속수무책
11개 시·군 홈피 개인정보 전송 암호화안돼 위험노출
위기에 빠진 정보보안… 지자체는 안전한가
1. 경기도와 시·군 겨냥한 ‘사이버 공격’ 연 4천건
2. 정보보안 사각지대, 경기도
3. 지자체장의 인식 전환 필요
“경기도와 시·군은 하나의 내부 행정망으로 연결, 어느 한 곳이 뚫리면 대량 정보유출사태가 일어날 가능성이 크다.”
한 시·군 정보보안 담당자가 현재 광역 및 기초지자체가 갖춘 정보보안 시스템에 대해 던진 의미심장한 말이다. ▶관련기사 3면
7일 경기도와 관련 업계에 따르면 도는 지난 2009년부터 ‘사이버대응침해센터’를 구축, 매월 100건이 넘는 소리 없는 ‘사이버 전쟁’을 벌이고 있다.
침해센터는 도와 31개 시·군이 보유한 ‘웹 사이트’를 대상으로 24시간 대응반을 운영, 지금까지 해킹 등의 사이버 위협으로부터 방어벽이 뚫린 사례는 없다.
지자체 개인정보 암호화 허점 노출
그렇다면 과연 도와 시·군이 갖춘 정보보안 시스템이 완벽할까? 결론부터 말하면 그렇지 않다. 도와 시·군의 홈페이지에서도 정보 유출 가능성이 높다.
시민단체 정보화사회실천연합(정실련)이 지난 2~3월 도와 31개 시·군의 개인정보 암호화 여부를 조사했다.
이 결과 구리·군포·안산·안양·여주·연천·오산·이천·화성·가평·양평 등 11개 시·군에서 가입이나 로그인 페이지에서 개인정보를 전송할 때 암호화가 적용되지 않는 사례가 발견됐다.
또 도가 최근 실시한 241개 홈페이지 통·폐합 과정에서도 일부 콘텐츠의 암호화가 해제된 것으로 알려졌다.
개인정보 등이 암호화 되지 않은 상태에서 PC가 악성코드 등에 오염되면 ‘아이디’와 ‘패스워드’ 등의 가입자 정보가 고스란히 노출되게 된다.
최근 대량 개인정보유출 사태를 빚은 KT 역시 서버에서 고객 컴퓨터로 개인정보 전달 시 별도의 암호화 과정을 거치지 않은 점이 정보 유출의 결정적인 원인이 됐었다.
공공정보, 한 번 뚫리면 대량 유출
개인정보뿐 아니라 행정정보에 대한 유출 위험도 적지 않다. 현재 도청 각 실·국 내부 행정망은 해당 부서 외에 다른 실·국 내부 정보 접근이 차단돼 있으나 고위직일수록 열람 가능한 내부 정보가 많다.
손영준 정실련 대표는 “악성코드나 해킹 등으로 오염된 PC 사용자의 권한에 따라 유출될 수 있는 행정 정보의 양이 도 전체로 확산될 수 있다”며 “오염된 PC 사용자의 권한 등급이 높다면 고도의 해킹 기술 없이 대량의 내부 정보가 유출될 가능성이 크다”고 전했다.
더 큰 문제는 지자체 한 곳의 내부 정보망이 뚫리면 도와 31개 시·군이 보유한 공공 및 개인 정보가 모두 유출될 가능성이 크다는 점이다.
중앙정부와 도, 시·군이 하나의 내부 행정망으로 연결되어서다.
이로 인해 안전행정부를 비롯한 중앙정부는 행정업무망과 외부 인터넷 망을 분리, 오염이나 해킹 위험을 사전에 차단하는 ‘망 분리’ 시스템을 도입, 모든 중앙부처 공무원이 1인당 두 대의 컴퓨터를 사용 중이다.
반면 도와 31개 시·군에서 망 분리를 도입한 곳은 단 한 곳도 없다.
지자체 직원들 대부분이 한 대의 컴퓨터로 일반 인터넷망과 업무망(행정망)을 병행해 사용하고 있다.
즉, 지자체의 경우 외부 침투로 내부 행정망이 뚫리면 확산 속도도 빠르고, 이와 연결된 지자체 모두가 정보 유출 위험에 놓이게 되는 셈이다.
/안경환·홍성민기자 hsm@