KISA 국가기술자격검정센터, 운영미숙 이어 개인정보보호 미흡
KISA 측 “지적된 부분은 보완조치중, 향후 개선방향 모색할 것” 

[보안뉴스 김지언] 최근 연이은 해킹사고로 정보보안에 대한 관심이 높아지고 있는 가운데, 올해부터 민간자격 검정시험인 SIS가 폐지되고 한국인터넷진흥원(KISA)에서 해당 자격증을 수탁함에 따라 국가자격으로 승격됐다. 이에 따라 정보보안에 관심이 있는 많은 사람들이 정보보안기사 및 정보보안산업기사 시험을 준비하고 있다.

국가자격으로 승격된 이후, 처음 실시된 제1회 정보보안기사 및 정보보안산업기사 필기시험이 지난 7월 6일 치러진 데 이어, 8월 24일에는 정보보안기사 실기시험이 시행됐다. 그러나 정작 시험기관의 개인정보보호는 미흡하다는 점이 문제로 지적되고 있다.

제1회 정보보안산업기사 필기시험에 응시했던 김규진(가명) 군은 “정보보안산업기사 필기시험을 준비하다 수험표에 주민등록번호 전체가 노출되어 많이 놀랐다”며, “주민번호가 그대로 출력되는 것으로 보아 주민번호뿐만 아니라, 비밀번호와 같은 중요 개인정보를 암호화하지 않았을 가능성도 큰 것 같다”고 지적했다.

덧붙여 그는 “더군다나 해당 시험이 정보보호관련 법규나 기술을 다루는 시험이니 만큼 시험을 치른 수험생 중 상당수가 주민번호 노출에 대한 문제를 제기했을 텐데도 아직까지 개선되지 않고 있어 이해할 수 없다”면서 “최근 주민번호 유출사고 문제가 제기되고 있는 상황이니 만큼 생년월일, 이름, 사진만으로도 본인 대조가 충분한데 굳이 주민번호로 대조할 필요가 있나 싶다”고 말했다.

이에 본지는 주민번호가 화면상에 노출될 때 암호화 여부 가능성에 대해 자세히 알아보기 위해 한 DB관리자의 의견을 들어봤다. 이와 관련해 그는 “주민번호가 수험표에서 그대로 출력되는 경우는 주민번호를 암호화하지 않은 경우이거나 양방향 암호화를 적용한 경우 크게 두 가지로 나누어 생각할 수 있다. 양방향 암호화는 복호화가 가능하기 때문에 원래의 주민번호로 변환해 출력이 가능하기 때문이다. 그러나 데이터베이스를 직접 확인하지 않는 한 암호화 여부에 관해서는 정확히 확인하기 어렵다”고 답했다.

이번 사안과 관련해 법률사무소 민후 김경환 변호사는 “본인확인을 위해 사용되는 주민번호의 경우, 양방향 암호화든 단방향 암호화든 암호화를 했다면 문제가 되지 않는다. 다만, 암호화를 하지 않는 경우 ‘개인정보의 안정성확보조치기준 7조’를 위반한 것이므로 문제가 된다”고 설명했다.

또한, 그는 “주민번호 수집에 관해서는 이를 원천적으로 금지하는 법규가 아직 공공기관 및 국가기관에 적용되고 있지 않아 법률상으로는 문제가 되지 않는다”며, “다만 해당 홈페이지가 주민번호 수집 동의를 받지 않고 있다면 예외조항에 해당하는지의 여부에 따라 법적인 문제가 생길 수 있다”고 밝혔다.

이에 대해 KISA 측에서는 주민번호는 데이터베이스에서 적용하는 암호화 방식에 의거해 단방향 암호화를 시행하고 있다고 주장하다 본지에서 단방향 암호화의 경우 복호화가 가능하지 않아 수험표에 주민번호가 출력될 수 없다고 반박하자, 양방향 암호화를 하고 있다고 다시 말을 바꿔 실제 암호화 여부에 대해서도 의구심이 커지고 있다.

또한, 주민번호 수집 동의를 구하지 않고 수집되고 있는 것과 관련해 KISA 측은 주민번호 수집여부에 대해 동의를 구하지 않은 점은 조금 더 신경을 썼어야 하는 부분이긴 하지만, ‘국가기술자격법 시행령 33조 2항’에 의거해 사용자에게 동의를 받지 않고도 주민번호 수집이 가능하므로 법적으로는 문제가 없다고 답변했다.

이 외에도 수험표에 출력되는 주민번호 문제의 경우 쌍둥이 식별문제, 부정행위 등의 문제로 아직 유지하고 있지만, 향후 개선방향을 모색하겠다고 밝혔다.

정보보안 분야의 유일한 국가자격시험을 주관하는 KISA는 향후 수험생들의 개인정보 관리에 더욱 만전을 기해야 한다. 더불어 해당 홈페이지가 개설된 지 얼마 되지 않은 만큼 취약한 부분에 대한 지속적인 점검과 개선이 필요할 것으로 보인다.     

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>