한국대중음악상 선정위원회는 지난 4일부터 ‘네티즌이 뽑은 올해의 음악인’ 선정을 위한 온라인 투표시 주민번호를 입력하는 본인인증 절차에서 암호화 조치를 하지 않아 전송과정에서 개인정보가 고스란히 노출됐다. 이는 패킷 캡처 툴을 통해 드러나는 것으로, 투표자가 누굴 투표했는지 여부까지 확인할 수 있어 문제가 심각했던 것이다.

이와 관련 한국대중음악상 선정위원회 측은 “트위터를 통해 이 사실을 알게 돼 밤샘작업을 통해 암호화 조치는 오전 9시 19분경 끝났다”며 “네티즌이 뽑은 올해의 음악인 홈페이지는 누구에게나 공개되기 때문에 개인정보를 수집하지는 않지만 이런 일이 발생해 매우 유감이다. 한국대중음악상 선정위원회에서도 투표방법을 두고 매년 고민하고 있다. 향후 좀더 나은 방법을 모색할 계획”이라고 말했다. 

또한 본인인증 방식에 대해 선정위원회 측은 “문제는 서울신용평가원으로 데이터가 전송되기 이전에 노출된 것이므로 데이터가 서울신용평가원으로 전송되면 바로 암호화 처리가 되기 때문에 개인정보가 유출되지는 않는다”고 말했다.

이와 관련 보안전문가인 김창오 블루코트코리아 기술이사는 “개인정보 전송 시 암호화 조치를 하지 않는 것은 안행부의 개인정보보호조치 가이드뿐만 아니라 정통망법의 개인정보보호이용조치 항목도 위반한 것”이라며 “본인 인증의 경우  위탁업체인 서울신용평가원에 개인정보를 제공해야 하는데, 이는 곧 개인정보가 수집·이용되는 것을 의미하기 때문에 문제가 있다”고 지적했다.

현재 한국대중음악상 선정위원회의 ‘네티즌이 뽑은 올해의 음악인’ 투표 홈페이지에는 ‘#실명인증은 서울신용평가원의 시스템을 사용합니다. #투표 시 입력하는 주민등록번호는 수집되는 정보가 아니며 중복투표 방지를 위한 인증 절차입니다. 따라서 한국대중음악상에서는 투표자의 주민등록번호를 수집할 수 없고, 유출할 수 없습니다. #실명인증이 되지 않는 경우 서울신용평가정보(주)에서 보유한 데이터베이스에 정보가 등록되어 있지 않은 경우이므로 siren24.com에 실명등록을 하신 후 투표가 가능합니다.’라고 안내하고 있다.

선정위원회 측은 이렇듯 개인정보를 수집하지 않는다고 표현했지만, 본인인증 확인을 위해 사실상 이용자 정보가 수집·저장된다는 것이 보안전문가들의 견해다.  

이와 관련 한국대중음악상 선정위원회 측은 “정보가 남긴 하지만 암호화되어 있기 때문에 개인정보로 볼 수 없다”는 입장을 밝혔다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>