“정부차원의 사전예방 차원의 휴면 사이트 등 일제 점검 필요”

[보안뉴스 김정완] 국민건강보험공단 자금운용 커뮤니티 사이트가 단순히 구글 검색만으로 관리자 계정이 노출돼 이 사이트에 가입한 건보공단 직원 및 증권사, 은행 등 관계자 수십명의 성명, 핸드폰번호, 회사명, 아이디 등이 노출된 가운데 사실상 이 사이트는 1년여 이상이나 방치돼 현재에 이른 것으로 확인됐다.

이 사이트는 건보공단 자금운용과 관련된 증권사, 은행 등과의 커뮤니케이션을 위해 지난 2007년에 만들어진 건보공단 내부망과는 연결되지 않은 외부 사이트로 확인됐다.

이와 관련 건보공단 관계자는 “이 사이트를 통해 일정관리나 채권상황 등 자료들을 올려서 서로 공유하기 위해 만들어진 사이트”라며 “2007년도에 만들어져 2009년부터는 거의 사용을 하지 않았다”고 설명했다.

이 사이트는 수시로 건보공단을 찾는 은행 및 증권 등 자금운용 관계자들로 업무의 비효율적인 부분, 즉 굳이 만나도 되지 않을 사항에 대해서는 온라인을 통해 커뮤니케이션을 하자는 취지에서 만들어졌다는 것.

이에 대해 건보공단 관계자는 “그런 취지를 알고 회원으로 가입한 직원들은 알지만 1년여가 지난 시점에서 그 취지를 잘 모르는 새로운 직원들이 가입을 하지 않거나 수시로 접속을 하지 않게 됐다”며 “특히 사이트 관리를 하는 것 자체도 시간이 경과함에 따라 어려운 일이 돼 결국 사이트를 2009년 1월부터 사용하지 않게 됐다”고 해명했다.

또한 이 사이트는 건보공단 측의 전산시스템과는 연동이 되지 않았으며, 이들 회원사 중 한 업체가 웹호스팅 업체를 통해 구축한 사이트임을 확인했다.

이에 이 사이트를 구축한 업체 관계자는 “재정관리실에 관계가 있는 참여자들만 가입해 활동할 수 있도록 하기 위해 회원가입에 제한을 두고, 공단 재정관리실 관계회사의 모임이기에 홈페이지에 공단 재정관리실로 표기하게 됐다”고 설명하고 “이번에 공개된 자료는 아이디, 성명, 회사, 전화번호, 가입일 뿐이며 이 개인정보 또한 공단의 전산시스템에 접근하거나 사용이 불가능한 자료”라고 해명했다.

하지만 명백히 비영리기관 도메인(or.kr)을 획득하고 건보공단을 명시하고 있는 사이트를 1년여 동안이나 방치해 둬 지금까지 구글 검색을 통해 여과 없이 관리자 계정이 노출된 관리의무 소홀에 대한 비난을 벗어날 수 없을 것으로 보인다. 더구나 건보공단 측의 해명처럼 2009년 1월부터 운영을 중단했지만 이 사이트는 이후에도 회원가입 신청 후 가입승인이 이루어져야 회원목록에 등재되는데 프로그램 오류로 인해 회원신청만으로도 회원이 돼 개인정보가 노출된 것.

이와 관련 이번 관리자 계정 노출로 공개된 회원목록 중 최근인 지난 5월에 가입한 건보공단 한 공무원은 “출산휴가 후 복직 후 이메일 확인이 이루어지지 않아 건보공단 홈페이지에 회원가입을 하게 됐는데, 여전히 이메일 확인이 이루어지지 않아 여러 경로를 통해 이 사이트에 가입하면 이메일을 확인할 수 있을 것이라 생각하고 가입하게 됐다”고 말했다.

건보공단 측은 7월1일자로 이 사이트를 폐쇄 처리한다고 전했다. 하지만 이와 관련 이는 건보공단 측만의 문제가 아니라 이러한 휴면 사이트들이 인터넷을 통해 노출됨으로써 개인정보 유출이 이루어질 수 있다는 점에서 정부 차원에서의 휴면 사이트들에 대한 일대 점검 등이 필요하다는 지적이다.

한 보안전문가는 “정부기관 사이트 뿐만 아니라 국내 한 대기업과 관련된 사이트들은 수백 개에 이르는데 이번과 같이 운영을 하지 않아 휴면인 사이트들도 많을 것”이라며 “각 기관·기업 차원에서의 이러한 개인정보 노출 등의 문제가 발생하기 이전에 미연에 자신들의 휴면 사이트들에 대한 점검을 할 필요가 있으며, 이를 정부 차원에서의 캠페인 등을 통해 대대적인 점검으로 이후 발생할지 모를 사고에 대비할 필요가 있을 것”이라고 주장했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>