행정안전부(장관 이달곤)는 최근 출시된 인터넷 익스플로러(IE8)에서 심각한 정보보호 침해 가능성이 있는 것으로 분석돼 문제 확산의 조기 차단을 위해 6일 전문가 토론회를 개최하고 대책 마련은 물론 공공·민간 등 범국가 차원에서 대응하기로 했다.

행안부가 지난 3월부터 각 부처와 함께 새로 출시된 IE8에서 각 기관 홈페이지가 정상적으로 보이는지 확인한 결과 43건의 문제가 도출됐으며, 대부분은 이미지 깨짐 등 단순 사항으로 파악됐다.

대법원의 경우, 자바 스크립트 오류 발생으로 IE8 홈페이지 구축 가이드 및 메타태그 가이드를 안내 받는 등의 조치를 취했고, 법무부의 경우에는 제우스 웹 애플리케이션 서버에서 개발방법 등의 문의에 따라 아파치에서 메타 스위치 구현을 설명 받는 등의 조치를 받는 등의 IE8 호환성 문제에 따른 접수를 통해 조치를 받았다.

특히 이번에 제기된 보안문제는 세션정보 공유와 개발자 도구이다. 세션정보 공유는 PC방 등 공개된 장소에서 인터넷 사용 후 로그아웃 또는 실행중인 브라우저를 모두 종료하지 않으면, 로그인 상태가 그대로 유지돼 다음 사용자가 타인의 이메일을 열람하는 등 개인정보 및 사생활 침해 문제가 발생할 수 있다. 또한 IE8에서 신규 지원되는 개발자 도구 기능을 이용해 PC에 임시 저장된 가격 등의 정보를 임의로 변경 및 결제가능한 문제가 있는 것으로 확인됐다.

토론회에 참가한 전문가는 세션정보 공유 문제에 대해서는 세션 관리를 강화하도록 웹사이트 프로그램 보완, 대국민 캠페인 강화를 해결책으로 제시했으며, 개발자 도구 문제는 서버에서 PC의 값을 다시 확인하게 웹사이트 프로그램을 보완하는 등의 대응방안을 제시했다.

웹브라우저 간 세션정보 공유로 개인정보 유출 가능에 대한 대응방안

사용자 대응 방법으로는 중요한 사이트에서 로그인해 사용한 경우에는 사용이 끝나면 반드시 로그아웃 처리하고, 공개된 PC를 사용하는 경우에는 인터넷 사용이 끝나면 실행중인 모든 브라우저를 종료하는 등의 대국민 홍보를 통한다.

웹사이트 운영자 대응 방법으로는 중요한 사이트의 경우 사용자가 로그인해 접속하는 웹페이지별로 별도의 세션유지 값을 부여하는 세션관리 기능을 적용(웹사이트 구조에 따라 여러 방법이 사용 가능하므로 개발자와 협의 필요)하는 등 프로그램 보완 등에 힘쓴다.

개발자 도구를 이용한 정보의 임의 변경에 대한 대응 방안

웹사이트 운영자 대응 방법으로 서버에서 PC로 전달된 값을 서버에서 다시 확인하도록 웹사이트 소스 프로그램을 보완한다.

이와 관련 한국정보보호진흥원(KISA)의 다음의 ‘웹페이지 개발 보완가이드’를 참조할 수 있다.

또한 파이어폭스, 사파리, 오페라, 크롬 등 대부분의 웹브라우저에서 세션정보를 공유하고 있으므로 공공장소에서 인터넷 사용을 끝내면 모든 웹브라우저를 종료하는 등 자신의 개인정보를 보호하기 위한 국민의 주의가 필요하다.

아울러 행안부는 국가·공공기관을, 방통위는 민간기관을 대상으로 대응방안의 이행을 요청하고 이행 현황을 점검하기로 했다.

이에 행안부 관계자는 “향후 유사 문제 발생 시 신속한 대응이 가능하도록 행안부, 국정원, 방통위 등 관계 기관 간에 유기적인 연계·협력 관계를 유지하기로 했다”며 “앞으로도 정부는 국민이 인터넷을 안심하고 이용할 수 있도록 국민의 입장에서 문제점을 찾고, 신속하게 해결하는 등 적극 노력해 나갈 것”이라고 밝혔다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>