지난 10월7일 행정안전부 국정감사에서 김영배 더불어민주당 의원이 직접 국정감사장에서 법제처 홈페이지 해킹을 시연하며 1210개 중 583곳(48.2%)이 최소한의 보안 조치를 하지 않음을 지적한 결과이다.

행안부는 ‘공공기관 웹사이트 암호화(HTTPS) 계획 검토·보고’을 진영 행안부 장관에게 보고하며 국정감사에서 HTTPS 미적용 웹사이트를 대상으로 보안 취약점을 지적받았다며 공공기관 웹사이트 암호화(HTTPS) 계획을 수립했다.

행안부는 HTTP는 웹사이트와 웹브라우저 사이에 데이터를 평문으로 송·수신하는 반면, HTTPS는 암호문으로 송·수신하는 데 차이가 있고, HTTPS 미적용 시 사용자 PC와 웹사이트 간 정보가 평문으로 송·수신돼 누구나 와이어샤크(Wire Shark) 등 프로그램을 이용해 아이디와 비밀번호 등의 중요 정보를 볼 수 있다고 밝혔다.

와이어 샤크는 네트워크의 오류 분석 등을 위해 개발된 패킷 분석 프로그램(오픈소스)이지만 본래의 용도와 달리 악의적으로 이용될 가능성이 있다.

김영배 의원(더불어민주당, 성북 갑)은 행안부에서 ‘보안 서버 구축 조치 협조 지침’ 공문을 발신한 공공기관 홈페이지 1280개를 전수조사한 결과, 2020년 10월 현재 폐쇄된 홈페이지 70곳을 제외한 1210개 중 583곳(48.2%)이 최소한의 보안 조치도 하지 않는 것으로 드러났다고 10월26일 밝혔다.

특히 대국민 서비스 홈페이지가 많은 보건복지부(80%), 농촌진흥청(85.7%), 제주특별자치도(75%), 대전광역시(64%), 전라남도(57.7%)의 순으로 웹페이지 미보안 비율이 높았다.

행안부는 김영배 의원이 국정감사에서 지적한 HTTPS 미도입 웹사이트에 즉시 HTTPS 도입 조치를 하겠다고 밝혔다. 또 HTTPS를 도입했으나 포털사이트 등에서 검색했을 때는 적용이 되지 않는 사이트도 자동전환하도록 즉시 조치를 실시했다.

행안부는 10월 말까지 중앙·지자체·공공기관 웹사이트 전수조사를 마치겠다고 밝혔다. 이번 전수조사는 행안부가 ‘전자정부법’ 제24조 제1항에 의거해 마련한 전자적 대민서비스와 관련한 보안대책을 수립·시행하는 지자체 및 공공기관 897개 관할 3만여개 웹페이지를 대상으로 했다.

개인정보 취급 여부, SSL 도입 여부, HTTP로 접속할 경우 HTTPS로 자동 전환조치 여부, 현재 사용하고 있는 해외 인증서 업체와의 계약기간 및 가격 등을 포함했다. 행안부는 전수조사 결과를 바탕으로 오는 12월까지 ‘HTTPS – ONLY’ 정책을 검토할 예정이다.

행안부는 2018년 8월까지 정부 제작 웹서비스 인증서를 사용한 최소한의 보안 조치 지침을 정부 기관에 내리고 행안부가 개발한 홈페이지 적용 인증서 설치 여부를 전수조사 후, 보안이 미비한 기관에 대해 https 적용을 돕고 권고했으나 현재 중단상태이다.

행안부는 2018년 8월부터 행안부 발급 웹사이트 포안 인증서(G-ssl) 발급을 중단하면서 ‘개인정보의 안전성 확보조치 기준 해설서’ 상 정부의 공공기관 및 공기업 홈페이지 평가 기준에서 ‘기초 암호화(Https)’를 제외했다.

행안부가 지난 8년(2011년 ~ 2018년) 동안 추진하던 ‘공공기관 보안서버 확대 보급 계획’에 따라 사기업과 공공기관 모두 고유식별정보 처리제한 및 개인정보의 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 의무화했던 방침에 역행하는 조치이다.

행안부는 2017년 8월까지 ‘전자정부 웹서비스 보안인증서 적용 실태 점검 결과 통보 및 이행조치 협조’에 따라 ‘개인정보 안전성 확보 조치를 이행하지 않을 경우 개인정보보호법 제 75조에 의해 과태료가 부과될 수 있다’고 안내했다.

보안서버 구축을 위한 정부 개발 웹서비스 인증서(G-ssl) 2454여개를 발급하며 의무적용을 권고하던 정부가 ‘모바일에서 정부개발 인증서 오류가 나타난다’는 이유로 G-ssl발급을 중단하고 행정부와 지자체 및 공기업의 최소 보안조치를 했는지 여부에 대한 관리를 하고 있지 않다.

행안부는 ‘행정기관 및 공공기관 정보시스템 구축·운영 지침(행정규칙)’에 따라 모든 행정기관의 정보시스템 구축·운영에 있어서 준수할 표준 절차를 정하고 평가할 의무가 있다.

행안부는 현재 가장 기본적인 단위의 보안체계도 갖추지 않은 공공기관의 홈페이지를 점검하고 관리하지 않은 채 매년 가이드 라인만 제작해 배포하고 있다.

국민의 전자정부 서비스 페이지에서 국민의 로그인 정보가 손쉽게 탈취될 수 있는데도 관리를 멈춘 것은 대국민 신뢰성 손실 및 글로벌 수준에 미달하는 보안 수준을 나타내는 것이다.

행안부는 김영배 의원이 국정감사에서 지적한 사항에 대해 전부 인정하고 일부 웹사이트들에 대한 즉각 조치를 시행했다.

김영배 의원실과 행안부는 향후 HTTPS 의무 도입, 정부 인증서 구축과 사용, 정부·지자체·공공기관의 온라인·모바일 페이지에 대한 보안 사항 매년 최신 기술 동향으로 유지 등을 ‘전자정부법’ 개정안에 담을 예정이다.

김영배 의원은 “정부 부처의 온라인 페이지는 국민의 삶에 영향을 미치는 중요한 정보들이 오가기 때문에 기초 보안 조치는 필수”라며 “국정 감사장에서 본 의원이 지적한 취지에 공감해 빠르게 조치를 취해주신 진영 행안부 장관님과 디지털 안전정책과 담당자들께 감사드린다”고 말했다.

김 의원은 “향후 모든 정부부처의 홈페이지에 HTTPS를 적용하는 ‘Https-only’를 실현하려면 우리 정부가 개발한 인증서를 현재 보안 수준에 맞춰 계속 기능을 개선해 사용하는 게 중요하다”며 “지금은 해외 업체의 인증서만 있는데, 정부 웹페이지 성격을 반영한 국제 인증 SSL인증서 구축 및 도입에 최선을 다해야 한다”고 강조했다.

세이프투데이 윤성규 기자(sky@safetoday.kr)