세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
[단독] ‘보안’은 쏙 빠진 ‘웹 호환성 우수 사이트’ 이대로 괜찮나
입력날짜 : 2017-01-02 17:05
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
미래부·KISA 선정 웹 호환성 최우수 사이트, 정작 웹 표준 오류
평가항목에 보안성 전혀 없어...편의성도 좋지만 보안은 기본
이번 심사과정 명확히 밝혀야...잘못 드러났을 경우 바로잡는 용기 필요


[보안뉴스 원병철 기자] 정부가 인터넷 이용환경 개선을 위해 시작한 ‘웹 호환성 우수 사이트’ 선정 심사기준에 보안 항목은 빠진 것으로 드러나 선정과정의 신뢰성에 의문부호가 커지고 있다. 이번 웹호환성 우수 사이트 선정이 인터넷 이용환경을 개선하는 데 초점이 맞춰져 있긴 하지만, 가장 기본항목이 되어야 할 보안이 빠진 것은 이해할 수 없다는 게 보안전문가들의 반응이다.


미래창조과학부와 한국인터넷진흥원(이하 KISA)은 지난달 29일 보도자료를 통해 ‘웹호환성 최우수 사이트 3개’를 선정했다고 밝혔다. KISA는 최우수 사이트로 선정된 기업 3곳은 가장 대중적으로 이용되는 OS 및 웹브라우저, 소수가 사용하는 OS 및 웹브라우저에서 웹 서비스를 정상적으로 제공하는 것은 물론 가장 최신의 OS 및 웹브라우저에서도 웹 서비스를 지원해 선정됐다고 밝혔다.

문제는 선정기준의 모호성이다. 본지에 들어온 제보에 따르면, 이번 심사에서 웹 취약점 및 정보보호 관련 항목은 아예 배제된 것으로 알려졌다. 더욱이 최우수 기업 중 한 곳은 심사항목의 핵심인 ‘HTML5’를 잘못 적용했다고 제보자는 강조했다. 실제 본지에서 확인한 결과 최우수 사이트로 선정된 모 기업의 홈페이지를 구글 ‘크롬(Chrome)’ 브라우저(버전 55.0.2883.87 m(64-bit))로 열고 ‘아이디/패스워드 찾기’ 페이지로 들어가 화면을 축소하면 ‘확인’ 버튼이 사라지는(25% 이하 축소) 것을 확인할 수 있었다.

이밖에도 해당 사이트는 정보통신망법 시행령 14조 ‘개인정보처리(취급)방침’ 표시 위반과 동법 27조의 2(개인정보처리(취급)방침 내용 오류) 위반 등 문제가 많은 것으로 알려져 심사결과의 신뢰성에 빨간불이 켜졌다.

무엇보다 제보자는 심사항목에 ‘보안’과 연관된 항목이 하나도 없었다고 언급했다. 이와 관련 KISA 측에 직접 확인한 결과 심사항목에 보안이 전혀 없었다는 점을 인정하면서 추후 보안항목을 추가하는 방안을 논의할 계획이라는 답변을 들을 수 있었다. 이에 웹 호환성에 있어 편의성도 좋지만 무엇보다 기본인 보안성이 포함됐어야 한다는 지적이 제기되고 있다.

물론 웹 호환성 우수 사이트 선정이 누구나 공평하게 인터넷을 사용할 수 있도록 하는데 취지가 있고, 사용 편의성에 초점이 맞춰져 있는 것은 분명하다. 그럼에도 심사기준에 부합하지 못하는 홈페이지가 최우수 사이트로 선정됐다는 점이나 웹사이트에서 가장 중요한 요소인 ‘보안’ 항목이 하나도 없다는 점은 분명히 시정이 필요한 부분이다.

이에 KISA 측에서는 이번 웹 호환성 우수 사이트 선정과정을 명확히 밝히는 동시에 추후 재발방지 대책을 마련하고, 이번 심사과정에서 잘못이 드러났을 경우 이를 바로잡는 용기가 필요해 보인다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

웹 호환성 최우수 사이트   HTML5   KISA   호환성   미래창조과학부                  


정보보안 관련 자격증 가운데 보안 실무에 있어 가장 필요하다고 판단되는 자격증은?
정보보안기사 및 정보보안산업기사
정보시스템보안전문가(CISSP)
정보시스템감사사(CISA)
정보보안관리자(CISM)
산업보안관리사(ISE)
정보보안관제사(ISC)
사이버포렌식전문가(CCFP)
인증심사원 자격(ISMS/PIMS/ISO27001 등)
기타(댓글로)