관광공사 등 14개 공공 기관, 망구간 암호화 없이 운영

글자 작게 글자 크게 인쇄하기

관광공사 등 14개 공공기관의 홈페이지와 모바일 애플리케이션(앱)이 등이 보안서버 없이 운영되고 있는 것으로 드러났다. 보안서버 적용은 지난 8월 실시된 `정보통신 이용촉진 및 정보보호 등에 관한 법률`에 의해 개인정보를 취급하는 모든 사이트에 의무화됐다.

19일 정보화사회실천연합은 공공기관이 운영하는 웹 페이지와 모바일 앱 등을 조사한 결과 대한무역투자진흥공사, 국민권익위원회 등 14개 기관이 보안서버 없이 운영 중인 것으로 나타났다.

행정안전부도 관광공사 등 4개 기관에서 실제로 보안 서버 없이 운영 중인 것을 확인, 나머지 기관의 추가 조사를 착수했다.

정보화사회실천연합이 조사한 것은 △대한무역투자진흥공사 △공정거래위원회 △한국에너지기술평가원 △축산물품질평가원 △한국연구재단 △한국노인인력개발원 △한국산업기술시험원 △한국디자인진흥원 △한국콘텐츠진흥원 △한국환경공단 △관광공사 등의 웹 페이지와 △강남구청 △국민권익위원회 등이 운영하는 모바일 앱이다.

정보화사회실천연합 관계자는 “기관 내부에 방화벽이나 침입방지시스템(IPS)을 구축했는지 외관상으로는 알 수 없지만 보안서버는 외부에서 식별할 수 있는 유일한 보안수단이기 때문에 보안서버 구축 여부를 조사했다”고 말했다. 이 관계자는 “보안서버는 구축 비용이 비싸지 않고 유지비도 들지 않아 조금만 관심을 기울이면 구축할 수 있다”면서 “보안에 대한 무관심이 여전하다”고 덧붙였다.

행안부 관계자는 “전국 공공기관, 산하기관 사이트가 180만개가 넘고 최근 모바일 앱 등을 제작하며 보안서버가 일부 적용되지 않은 사례를 발견했다”며 “방통위와 공동으로 지속적으로 모니터링해 미흡한 부분을 개선하겠다”고 밝혔다.

보안서버는 인터넷상에서 전송되는 자료를 암호화해 송수신하는 기능을 제공하는 웹 서버(웹 사이트)로 개인정보보호의 기본적인 수단이다. 보안서버가 없으면 망 구간에서 오가는 데이터 역시 암호화되지 않아 입력한 개인정보의 안전성을 담보할 수 없다.

보안서버는 지난달 18일 개정된 정보통신망법 `제28조 개인정보의 보호조치 제4항 개인정보를 안전하게 저장, 전송할 수 있는 암호화 기술 등을 이용한 보안조치` 항목 중 비교적 간단하게 조치할 수 있는 부분이다.

김승주 고려대학교 정보보호대학원 교수는 “가장 기본적인 보안대책인데도 투자비 등으로 설치를 망설이는 사례가 대부분”이라며 “우리나라 전자정부가 1위를 달리지만 보안서버 설치 대수로 평가하는 보안지수는 세계 15위 수준에 불과하다”고 말했다.

한국인터넷진흥원에 따르면 국내 보안서버 보급은 지난 2009년 4만9358대, 2010년 6만4415대, 2011년 7만8482에 이어 올 상반기 8만1502대로 나타났다. 다른 나라와 비교하면 2010년 14위에서 2011년 12위로 다소 개선됐다가 올해 15위로 하락한 것으로 조사됐다.

보안서버 구축에 가장 소극적인 곳이 공공기관이다. 국회 문화체육관광방송통신위원회 소속 조해진 의원은 “보안서버의 취약성이 가장 심각한 부문은 공공부문”이라고 지적했다. 보안서버 보급현황은 민간부문 2009년 4만1387대, 2010년 5만1064, 2011년 6만67대, 올 5월 말 기준 6만1086대인 데 비해 공공부문은 2009년 7971대, 2010년 1만3351대, 2011년 1만8415, 올 5월 2만416대로 보안서버 확충이 절실한 것으로 드러났다.

장윤정기자 linda@etnews.com