중간자 공격 등 해킹 위험 상존...대법원 “일부 오류 발견돼 수정중”  

[보안뉴스 권 준] 대법원 전자독촉시스템(http://ecf.scourt.go.kr)에서 개인정보가 암호화되지 않은 상태로 정보통신망을 통해 전송되는 등 대법원의 허술한 개인정보 관리가 도마 위에 오르고 있다.

전자독촉시스템은 채무관계 분쟁 등과 관련해 채권자가 사건정보, 채권자정보, 채무자정보, 대리인정보, 첨부서류 순으로 지급명령신청서를 작성해 인터넷으로 소장을 접수하는 것으로, 법원을 직접 방문하지 않아도 손쉽게 소장을 접수할 수 있어 최근 많은 사람들이 이용하고 있다.

이렇듯 이용이 활성화되고 있는 전자독촉시스템의 개인정보 관리에 있어 구멍이 뚫린 것이다. 전자독촉시스템을 통해 사건을 처리하다 이를 인지하게 됐다는 제보자는 “개인정보보호법에는 개인정보 처리 시 암호화 등의 안전한 조치를 취하도록 규정하고 있다”며, “법률 준수에 있어 최후의 보루인 대법원이 운영하는 시스템에서 소송의뢰인 등의 각종 개인정보가 암호화되지 않은 채 전송되고 있다는 점은 매우 심각한 상황”이라고 우려했다.   

현재 대법원 법원행정처의 개인정보 처리방침을 살펴보면 개인정보를 위한 기술적·관리적 대책에서 암호알고리즘을 이용해 네트워크 상의 개인정보를 안전하게 전송할 수 있는 보안장치를 채택하고 있다고 설명하고 있다. 이에 따라 전자독촉시스템에도 네트워크 상의 개인정보를 안전하게 전송할 수 있는 보안조치를 취해야 한다. 

이와 관련 제보자는 “전자독촉시스템의 개인정보 처리현황을 적법한 방법으로 확인한 결과 이름, ID, 주민등록번호 뒷자리 7개, 신용카드 번호, 신용카드 비밀번호 앞 2자리, 신용카드 유효기간, 사건번호, 채권자, 채무자 등의 중요 개인정보가 보호조치 없이 정보통신망 상에서 평문으로 전송되는 문제점이 발견됐다”고 설명했다.

이를 통해 살펴본 대법원 전자독촉시스템의 개인정보처리 위반사항은 너무나 심각하다. 우선 개인식별번호, 카드번호와 비밀번호 등의 개인정보를 정보통신망으로 전송할 때 암호화 처리를 하지 않았고, 안전한 통신 채널을 사용하지 않은 것으로 나타났다. 더구나 주민번호 뒷자리 7개 입력 시 마스킹 처리가 되지 않았고, 공인인증서 사용 시 전체 데이터를 암호화하지 않은 것으로 드러났다.

전자독촉시스템의 미흡한 개인정보 관리와 관련해 제보자는 “이렇듯 허술한 개인정보 보호조치로 인해 중간에 개인정보를 가로채는 스니핑이나 중간자 공격(Man-in-The-Middle Attack)이 가능할 것으로 추정된다”고 밝혔다.

덧붙여 그는 “화면 입력 시 주민번호 뒷자리 7개를 마스킹 처리하도록 법에서 강제하지 않는다”면서도 “개인정보처리 시스템에서 조회, 출력 등의 업무를 수행하는 과정에서 개인정보를 마스킹 할 것을 요구하므로 업무의 일관성과 개인정보 보호를 위해 입력 시에도 마스킹 처리를 하는 것이 안전하다”고 설명했다.

이와 관련 한 법조계 관계자는 “개인의 권리를 구제 받기 위해 법원에 가서 소송을 하는 데 오히려 법원에 의해 권리가 침해될 수 있게 됐다”며, “개인정보보호 관련 법령을 위반했다고 처벌하는 법원이 스스로 법을 어기고 있는 현실을 국민이 결코 납득하기 어려울 것”이라고 비판했다.

이번 문제는 현재 한국인터넷진흥원(KISA) 측에 신고가 접수된 상태이며, 대법원 측에서도 문제를 인지하고 오류를 수정 중인 것으로 알려졌다.   

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>