세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[단독] ‘보안’은 쏙 빠진 ‘웹 호환성 우수 사이트’ 이대로 괜찮나
  |  입력 : 2017-01-02 17:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미래부·KISA 선정 웹 호환성 최우수 사이트, 정작 웹 표준 오류
평가항목에 보안성 전혀 없어...편의성도 좋지만 보안은 기본
이번 심사과정 명확히 밝혀야...잘못 드러났을 경우 바로잡는 용기 필요


[보안뉴스 원병철 기자] 정부가 인터넷 이용환경 개선을 위해 시작한 ‘웹 호환성 우수 사이트’ 선정 심사기준에 보안 항목은 빠진 것으로 드러나 선정과정의 신뢰성에 의문부호가 커지고 있다. 이번 웹호환성 우수 사이트 선정이 인터넷 이용환경을 개선하는 데 초점이 맞춰져 있긴 하지만, 가장 기본항목이 되어야 할 보안이 빠진 것은 이해할 수 없다는 게 보안전문가들의 반응이다.


미래창조과학부와 한국인터넷진흥원(이하 KISA)은 지난달 29일 보도자료를 통해 ‘웹호환성 최우수 사이트 3개’를 선정했다고 밝혔다. KISA는 최우수 사이트로 선정된 기업 3곳은 가장 대중적으로 이용되는 OS 및 웹브라우저, 소수가 사용하는 OS 및 웹브라우저에서 웹 서비스를 정상적으로 제공하는 것은 물론 가장 최신의 OS 및 웹브라우저에서도 웹 서비스를 지원해 선정됐다고 밝혔다.

문제는 선정기준의 모호성이다. 본지에 들어온 제보에 따르면, 이번 심사에서 웹 취약점 및 정보보호 관련 항목은 아예 배제된 것으로 알려졌다. 더욱이 최우수 기업 중 한 곳은 심사항목의 핵심인 ‘HTML5’를 잘못 적용했다고 제보자는 강조했다. 실제 본지에서 확인한 결과 최우수 사이트로 선정된 모 기업의 홈페이지를 구글 ‘크롬(Chrome)’ 브라우저(버전 55.0.2883.87 m(64-bit))로 열고 ‘아이디/패스워드 찾기’ 페이지로 들어가 화면을 축소하면 ‘확인’ 버튼이 사라지는(25% 이하 축소) 것을 확인할 수 있었다.

이밖에도 해당 사이트는 정보통신망법 시행령 14조 ‘개인정보처리(취급)방침’ 표시 위반과 동법 27조의 2(개인정보처리(취급)방침 내용 오류) 위반 등 문제가 많은 것으로 알려져 심사결과의 신뢰성에 빨간불이 켜졌다.

무엇보다 제보자는 심사항목에 ‘보안’과 연관된 항목이 하나도 없었다고 언급했다. 이와 관련 KISA 측에 직접 확인한 결과 심사항목에 보안이 전혀 없었다는 점을 인정하면서 추후 보안항목을 추가하는 방안을 논의할 계획이라는 답변을 들을 수 있었다. 이에 웹 호환성에 있어 편의성도 좋지만 무엇보다 기본인 보안성이 포함됐어야 한다는 지적이 제기되고 있다.

물론 웹 호환성 우수 사이트 선정이 누구나 공평하게 인터넷을 사용할 수 있도록 하는데 취지가 있고, 사용 편의성에 초점이 맞춰져 있는 것은 분명하다. 그럼에도 심사기준에 부합하지 못하는 홈페이지가 최우수 사이트로 선정됐다는 점이나 웹사이트에서 가장 중요한 요소인 ‘보안’ 항목이 하나도 없다는 점은 분명히 시정이 필요한 부분이다.

이에 KISA 측에서는 이번 웹 호환성 우수 사이트 선정과정을 명확히 밝히는 동시에 추후 재발방지 대책을 마련하고, 이번 심사과정에서 잘못이 드러났을 경우 이를 바로잡는 용기가 필요해 보인다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)