세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
한국사물인터넷협회 홈피, 주민번호와 PW 평문 전송 ‘말썽’
  |  입력 : 2018-06-21 15:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아이디·비밀번호·주민번호 암호화처리 없이 데이터 평문 전송
개인정보보호법 제24조와 제29조 안정성확보 조치 위반 해당
사물인터넷협회 측, 홈페이지 리뉴얼 오픈 준비 중... 내부 논의 후 조치


[보안뉴스 김경애 기자] 한국사물인터넷협회 웹사이트의 아이디와 비밀번호 입력창과 웹사이트 회원 가입시 수집하는 주민번호가 암호화되지 않고 평문으로 전송되는 것으로 드러났다.

▲한국사물인터넷협회 주민번호 평문전송 노출 화면[이미지=제보자]


본지에 이를 알려온 제보자는 “한국사물인터넷협회 웹사이트에서 회원 가입시 주민번호 입력을 하도록 되어 있는데, 전송구간에 암호화 적용이 되지 않아 주민번호 전체가 평문으로 전송되고 있다”며 문제를 지적했다.

해당 웹사이트를 살펴본 결과 문제가 되는 부분은 아이디와 비밀번호를 입력하는 로그인과 웹사이트 회원 가입시 입력하는 주민번호 전송 구간이다. 해당 구간은 모두 암호화 처리를 거쳐 개인정보 데이터가 전송돼야 한다. 하지만 암호화 처리가 되지 않아 평문으로 전송되고 있었다.

보안전문 블로거 ‘어리버리’는 해당 이슈와 관련해 “주민번호는 개인정보보호법상 고유식별정보로 저장 암호화는 물론 전송구간 암호화를 반드시 적용해야 한다”며 “한국사물인터넷협회는 본인 확인 과정에서 근거 법령에 따라 주민번호를 입력하도록 하고 있으나, 전송구간 암호화가 적용되지 않았다”고 지적했다. 이어 “로그인 패스워드는 일방향 암호화로 전송돼야 하나 평문으로 전송되는 등 여러 취약점이 발견됐다”고 밝혔다.

▲한국사물인터넷협회 아이디 평문전송 노출 화면[이미지=보안전문 블로거 어리버리]


이는 개인정보보호법 제24조, 제29조 및 개인정보 안전성 확보조치 위반에 해당된다. 개인정보보호법에서는 안전성 확보 조치를 취해야 할 개인정보로는 고유식별번호와 비밀번호, 바이오정보, 기타 개인정보 등이 해당된다. 특히, 데이터 송수신 전송구간은 반드시 암호화 처리를 해야 한다.

이에 대해 한국사물인터넷협회 측은 본지와의 통화에서 “협회 웹사이트는 6월말에서 7월초 오픈 예정으로 리뉴얼 작업 중에 있다”며 “현재 임시방편으로 신규 회원가입을 중지한 상태로 개발사 등과 내부적으로 논의한 후, 조치를 취하겠다”고 밝혔다.

기업의 한 CISO는 “한국사물인터넷협회와 같은 단체·협회가 주민번호를 반드시 수집·처리해야 할 필요성이 있는지 잘 모르겠다”며, “단체·협회가 운영하는 웹사이트 가입에는 본인확인이 의무가 아닐 뿐더러, 본인확인을 진행한다 하더라도 아이핀, 휴대전화인증과 같이 주민번호를 사용하지 않는 본인확인 수단이 존재하기 때문”이라고 지적했다.

고려대학교 정보보호대학원 이상진 원장은 “인터넷에서 오고 가는 데이터는 누구나 열람할 수 있다”며 “패스워드나 주민번호와 같이 노출되지 않아야 하는 데이터는 암호화해서 보내는 것이 상식이다. 이러한 데이터를 평문으로 보내도록 시스템을 개발했다면 보안의식이 부재한 것으로 판단할 수밖에 없다. 특히, 주민번호는 꼭 필요한 경우에만 수집하고, 유출돼도 안전하도록 반드시 암호화해서 보관해야 한다”고 지적했다. 또한, 대부분 생년월일만 수집하는 현실에서 주민번호 전부가 필수불가결했는지 확인해야 하고, 수집이 불가피했더라도 암호화하지 않은 이유에 대한 책임 추궁이 필요하다는 지적이다.

협회 측은 “내부적으로 홈페이지 제작업체와 회의와 협의를 거쳐 현재 홈페이지에서는 로그인 정보와 주민번호 수집을 잠시 중단하고, 공지사항으로 이를 안내하고 있다”며 “현재 협회에서 현재 산업인력공단 주관 교육을 시행하고 있는데, 교육생 정보를 공단 시스템에 입력해야 하는 절차 때문에 정보주체 동의 하에 개인정보를 수집하고 있다. 법령 근거는 근로자직업능력개발법으로, 자격증 사업은 자격기본법에 근거해 개인정보를 수집하고 있다. 새로 리뉴얼되는 사이트에는 암호화 적용이 될 것”이라고 밝혔다.

한국인터넷진흥원 개인정보대응센터 김주영 센터장은 “협회는 비영리 기관으로 개인정보보호법 적용을 받는다”며 “개인정보가 노출되면 2, 3차 피해가 발생할 수 있어 암호화 조치는 전송뿐만 아니라 저장에 있어서도 반드시 필요한 조치라고 할 수 있다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)