한국대중음악상, ‘네티즌이 뽑은 올해의 음악인’ 투표 홈피 구멍  
중복투표 막기 위해 이름·주민번호 입력 요구...고스란히 노출 

[보안뉴스 김경애] 카드사 정보유출로 전국이 개인정보 보호에 비상이 걸린 가운데 이번엔 한국대중음악상 선정위원회의 ‘네티즌이 뽑은 올해의 음악인’ 투표 홈페이지에서 입력한 주민번호가 암호화 없이 전송돼 파장이 커지고 있다.

특히 이번 사건은 NH농협카드의 개인정보 유출조회 서비스 당시 입력정보를 평문으로 전송한 경우와 매우 흡사해 네티즌들의 비난을 한 몸에 받고 있다.

한국대중음악상 선정위원회는 지난 4일부터 ‘네티즌이 뽑은 올해의 음악인’ 선정을 위해 온라인 투표를 진행하고 있다. 그러나 중복투표 방지를 위해 주민번호를 입력하는 본인인증 절차과정에서 개인정보가 고스란히 노출된 것. 이는 패킷 캡처 툴을 통해 드러나는 것으로, 투표자가 누굴 투표했는지 여부까지 확인할 수 있다.

이 문제를 최초로 제기하고 본지에 제보한 류창현(한양대 전자공학과) 씨와 전진태(경기대 컴퓨터과학과) 씨는 “이름과 주민등록번호란에 주민번호를 입력했더니 개인정보가 노출될 수 있다는 지적이 제기됐다”며 “NH농협카드 개인정보유출 확인 서비스 당시와 유사하게 개인정보를 암호화해서 전송하지 않았기 때문”이라고 지적했다.

이는 사용자들 간에 같은 무선 네트워크를 쓰는 상황에 해당되는 것으로, 입력 문자(평문) 그대로 주요 개인정보가 전송될 경우 해커가 전송되는 모든 데이터를 볼 수 있어 위험하다.

본지가 앞서 지난 1월 19일 단독 보도한 NH농협카드 개인정보 유출확인 사이트에서 주민등록번호, 휴대폰번호, 본인인증번호 등이 암호회되지 않은 채 전송된 사건과 매우 흡사하다.  

위의 사진은 와이어샤크로 패킷을 캡쳐한 부분으로, 빨간색으로 표기된 부분에서 s1은 주민번호 앞자리, s2는 주민번호 뒷자리를 뜻한다. 이를 통해 주민번호가 암호화되지 않은 상태로 전송되는 것을 알 수 있다. 이 외에도 투표자가 어느 가수를 선택했는지도 그대로 노출됐다.

더욱 심각한 건 투표기간이 오는 20일까지라 ‘네티즌이 뽑은 올해의 음악인’ 투표 참여자들의 피해가 커질 수 있다는 것이다.

이와 관련 한 네티즌은  “중복투표가 불가능하다는 것은 투표한 사람의 주민번호가 DB라던지 어딘가 남는 거 아니냐”는 의견을 피력하기도 했다.

한편, 투표시 본인인증을 위한 주민번호 입력이 법적 문제가 없는지에 대해 법률사무소 민후 김경환 대표변호사는 “개인정보를 본인인증 수단으로 활용할 경우 법적 문제는 없지만, 만약 개인정보가 수집되고 있다면 문제가 심각해진다”라고 말했다.   

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>