[자막뉴스] "기자가 직접 해킹 성공"...보안 허술 끝판왕 홈페이지

[자막뉴스] "기자가 직접 해킹 성공"...보안 허술 끝판왕 홈페이지

2020.10.07. 오후 1:53
댓글
글자크기설정
인쇄하기
AD
대법원 통합관리 시스템 홈페이지입니다.

노트북에 아이디랑 비밀번호를 입력했는데, 다른 노트북에서 정보가 그대로 드러납니다.

결코, 고급 기술이 아닙니다.

누구나 내려받을 수 있는 해킹 프로그램 하나 설치했을 뿐인데 보안이 뻥 뚫린 겁니다.

정보 유출에 얼마나 취약한지, 해킹 지식이 없는 저도 직접 시도해 보겠습니다.

이분의 아이디와 패스 워드를 맞춰볼 텐데요.

아이디는 sm.yun 비밀번호는 test1q2w3e로 이렇게 확인됐습니다.

국방부 군무원 채용 홈페이지도 직접 해킹해봤는데 대법원 사례처럼 손쉽게 뚫립니다.

행정안전부가 관리하는 공공기관 홈페이지 1,211개를 들여다봤더니, 절반가량이 보안이 허술했습니다.

앞서 직접 해킹해본 대법원과 국방부 군무원 채용 홈페이지, 그리고 국토교통부 등 개인정보와 공공문서를 주고받는 홈페이지들이 포함됐습니다.

일반 이용자는 물론이고 공공기관 홈페이지 관리자의 로그인 정보가 노출된다면 상황은 훨씬 심각합니다.

그야말로 개인정보가 술술 털릴 수 있기 때문입니다.

[정경섭 / 정보 보호 전문업체 이사 : 사실상 개인이 홈페이지를 이용하면서 스스로 정보 보호를 적용하기는 어렵고요. 공공기관이나 홈페이지를 운영하는 쪽에서 기술적으로, 관리적으로 적절한 보호 조치를 적용하는 게….]

그렇다면 이렇게 허술한 이유는 무엇일까?

홈페이지에 접속하면 주소창 가장 앞에 쓰여 있는 인터넷 통신 규약, http 때문입니다.

http 방식은 누구나 볼 수 있는 형태로 정보를 전달합니다.

그래서 정보를 암호화해 보안을 강화한 https(secure) 방식이 생겼지만, 공공기관 홈페이지 절반가량은 여전히 http 방식을 쓰고 있는 겁니다.

앞서 행정안전부는 지난 2018년까지만 해도 암호화가 적용된 보안 서버를 구축하라고 권고했지만, 모바일로 접속할 경우 오류가 생긴다는 이유로 이를 중단했습니다.

[김영배 / 더불어민주당 의원 : 행정안전부는 우리 정부의 공식적인 문서 보안과 정보 보안의 주무부처입니다. 국제기준의 정보 보안체계를 갖추도록 명령하고 점검할 책임이 행안부에 있다고 볼 수 있습니다.]

행정안전부가 보안에 손을 놓은 사이, 이용자들의 개인정보는 지금도 무방비 상태에 놓여 있습니다.

보안을 강화하지 않는 한 그나마 개인으로서 할 수 있는 건 비밀번호를 자주 바꾸는 일입니다.

취재기자ㅣ최아영
촬영기자ㅣ이승환 심관흠
영상편집ㅣ마영후
그래픽ㅣ지경윤
자막뉴스ㅣ류청희 에디터


[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]