세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
한국기상산업기술원 해킹 당해...고객개인정보 유출 뒤늦게 발견
  |  입력 : 2017-10-30 16:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기상청 산하 기상산업기술원, 지난 3월 해킹 발생...중국발 공격 관리자 권한 탈취
홈페이지 주소와 동일한 관리자 계정 및 비밀번호 설정이 취약 요소로 작용
개인정보 유출 인지 못해...기상청 산하기관 3곳 모두 정보보안 담당인력 전무


[보안뉴스 원병철 기자] 기상청 산하 기관인 한국기상산업기술원 홈페이지가 허술한 보안관리로 지난 3월 해킹되어 고객들의 개인정보가 유출된 것으로 밝혀졌다. 국회 환경노동위원회 소속 신보라 의원(자유한국당)이 기상청으로부터 제출받은 자료에 따르면, 지난 3월 한국기상산업기술원(이하 기술원)의 홈페이지가 중국발 공격으로 인해 관리자 권한이 탈취된 것으로 나타났다.

▲ 한국기상산업기술원 홈페이지[자료=홈페이지]


한국기상산업기술원은 기상청 산하 기관으로 기상산업 진흥·발전, 기상정보의 활용 촉진 및 유통을 효율적으로 지원한다. 현재는 기상청의 지진조기경보관측망과 지상·고층 기상관측망을 운영하고 있으며, 기상레이더 유지보수 등의 업무도 담당하고 있다.

기술원 측은 홈페이지 서비스 끊김 현상 등 이상 징후가 포착되자 홈페이지 네트워크를 차단하고 5일간 홈페이지 서비스를 중단 했으나, 이미 관리자 권한이 탈취되어 홈페이지 서버에 업로드 되었던 고객들의 개인정보가 유출되었다.

해킹의 원인으로는 기술원 홈페이지 방화벽 정책이 외부 접속이 가능한 환경으로 설정되어 있었으며, 특히 2016년 홈페이지를 개편한 이후 위탁업체에서 최초로 설정했던 쉬운 문자열의 계정과 암호를 변경하지 않고 그대로 사용한 것으로 밝혀졌다. 신보라 의원은 “정보보안의 A․B․C만 알아도 관리자 계정을 이렇게 설정하지 않았을 것”이라며 “기술원 담당자의 허술한 보안 의식이 해킹을 초래했다”고 말했다.

▲ 홈페이지 해킹 당시 설정되었던 관리자 아이디 및 암호(현재는 변경됐음)[자료=신보라의원실]


기술원 정보보안 담당자는 회원가입 없이 운영되는 홈페이지 특성상 수집되는 개인정보가 없어 고객들의 개인정보 유출 등의 피해 특이사항은 없다고 설명한 바 있다. 하지만 의원실 자체적으로 기술원 홈페이지를 조사한 결과 회원가입 외 개인정보를 수집하는 항목이 별도로 존재 했으며, 국내 기상산업 기업들의 정보들도 포함된 것으로 밝혀져 충격을 주고 있다.

홈페이지에서 개인정보를 수집하는 항목은 △클린신고센터 △고객의 소리 △측기검정 △기업지원 신청서 접수 등 4가지 항목이며, 특히 측기검정 신청 항목에는 기상측기검정 민원인의 이름, 생년월일, 주소, 전화번호, 이메일 등을 의무로 기재하도록 되어 있다. 이에 신 의원은 “해킹을 당하고도 아무런 조치를 취하지 않았다”며, “기술원 측은 의원실의 지적을 받은 후에서야 홈페이지 해킹 및 개인정보 유출에 대한 양해문을 게시했다”고 기술원의 취약한 개인정보 관리를 지적했다.

한편, 기상청 산하 기관 3곳 중 2곳은 개인정보보호, 전산시스템 관리 등 정보보안업무를 전담하는 인력이 없으며, 타 업무와 병행해 보안업무 집중도가 매우 열악한 것으로 나타났다.

▲ 기상청 산하기관 정보보안업무 담당자 현황[자료=신보라의원실]


신 의원은 “한국기상산업기술원은 허술한 보안 관리로 홈페이지를 해킹 당했음에도 이를 묵인하고 제대로 대처하지 못해 큰 문제”라며, “전반적으로 기상청 및 산하기관이 정보보안에 대한 시스템이 전혀 갖추어지지 못하고 있다”고 지적했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)