• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

전자정부 신뢰성, 개인정보보호에 달렸다! 2007.11.21

필터링 시스템, 웹방화벽...내년 시장 전망 ┖맑음┖

 

지난 8월 16일 노무현 대통령은 국무회의 자리에서 “확고한 신뢰를 확보할 수 있도록 다시 한번 전부 전부 점검하고 각 부처의 정보보호 시스템에 부실함은 없는지 전문가검증을 실시하라”며 “수시로 공공기관 사이트에 대한 불시 점검을 계속해서 정보보호 확실하게 해 주시고 민간부문도 확실하게 해 주시기 바란다”고 강조했다.


이에 정보통신부와 행정자치부를 중심으로 공공기관 홈페이지에 대한 상시모니터링 및 지속적인 컨설팅이 실시됐다. 물론 이를 계기로 각 기관의 개인정보보호에 대한 인식이 높아졌으며 개인정보 노출에 대한 사전방지에 필요성도 점차 증가했다.


한편 홈페이지를 통한 민원처리, 행정처분 결과 고시 및 공고, 행정 자료 공개 등이 증가하면서 개인정보 노출 수위는 더욱 높아지고 있는 것이 현실이다.


이에 행정자치부 제도정책팀 관계자는 “홈페이지를 직접 점검하고 구글 등의 검색엔진을 활용한 간접점검을 병행해 개인정보 노출내역을 점검하고 있다”며 “여기서 개인정보는 주로 주민등록번호와 신용카드번호, 여권번호 등”이라고 말했다.


또한 행자부는 개인정보 노출과 유출 등의 위험 방지를 위해 홈페이지 취약점 점검을 실시하고 있으며, 주로 디렉토리리스팅, 파일 다운로드, 파일 업로드, XSS, SQL인젝션, 접근통제 등을 주요 점검 항목으로 지정해놓고 있다.


한편 모니터링 결과를 기반으로 개인정보 노출 내역 등에 대한 원인을 분석하고 해결 방안을 마련하기 위한 컨설팅도 수행하고 있다고 한다. 올해 공공기관을 대상으로한 홈페이지 취약점 점검은 700여 개 주요 기관 및 공공기관을 중심으로 실시됐으며 1차는 지난 7월초부터 8월말까지 이루어졌고 2차는 9월 초부터 10월초까지 이루어진 것으로 나타났다.


제도정책팀 관계자는 “1차 모니터링 결과, 기관 유형별 개인정보 노출 위험 수준은 지방자치단체가 52.9%로 가장 높았고 다음이 교육기관으로 42.6%, 중앙행정기관은 3% 순으로 나타났다”고 설명했다. 또 2차에는 위험성에 있어 교육기관이 가장 높은 것으로 나타났다. 무려 69% 이상이 나왔고 지방자치단체는 19.2%로 나왔다.


특히 모 관계자는 “한글이나 엑셀 등 첨부파일에 의한 개인정보 대량 노출이 전체 노출의 70% 이상을 차지한 것으로 나타났다”며 파일관리에 허술함이 있다고 강조했다. 즉 업무담당자 부주의에 의한 사고가 가장 많다는 것이 문제다. 그만큼 아직까지 개인정보보호에 대한 인식이 확고하지 않다는 것으로 볼 수 있다. 개인정보가 포함된 한글이나 엑셀파일 등을 외부로 전송하거나 게시판 게시물에 올라와있는 개인정보를 제때 삭제를 하지 않는 문제가 있다.


또한 설계오류에 의한 문제도 있다. 관리자 페이지가 인증우회 공격에 노출되거나 소스코드 상의 문제로 개인정보가 유출되는 경우도 있다. 그리고 공공기관 홈페이지를 사용하는 민원인들도 주의해야 한다. 자신의 개인정보가 포함된 민원자료를 함부로 게시판에 올리는 것을 주의해야 한다.


또 하나 구글 검색엔진에 의한 노출도 문제다. 이를 삭제하기 위해서는 정부차원에서 노력을 기울여야 가능한 일이다. 구글은 주기적으로 정보를 수집해 자신의 DB에 저장한다. 개인정보가 노출된 홈페이지를 구글이 수집함으로써 정보 검색이용시 구글검색 결과에 개인정보가 노출되는 것이다.


개인정보노출, 어떻게 방지할까

행자부 제도정책팀 관계자는 “자료게시시 업무담당자의 주의가 필요하다”며 “공개되는 자료를 올릴때 자료에 포함된 개인정보는 삭제 조치해 게시해야 한다. 특히 첨부파일을 올릴때는 더욱 주의해서 확인하고 업로드 시켜야 한다”고 당부했다.


또 홈페이지 개발 및 유지보수 시 설계상 오류가 없는지 확인해야 한다. 접근 통제가 올바르게 구현됐는지를 확인하고 소스코드 상에 개인정보가 없음을 확인해야 한다.


한편 게시판 이용시 개인정보 작성 방지를 위한 경고문구를 띄우는 것도 좋은 방법이다. 홈페이지 이용자가 게시판 이용시 ‘주민등록번호’ 등과 같은 개인정보를 등록할 때 제 3자에 의해 피해를 입을 수 있다는 경고문을 공지하는 것도 좋다.


그리고 홈페이지 상의 민감한 정보가 검색엔진에 노출되지 않도록 메타 테크(로봇배제 표준)를 적용하는 방법과 기관 홈페이지 혹은 구글 등에 개인정보가 노출되지 않았는지 지속적인 모니터링이 필요하다고 관계자는 말한다.


장기적으로는 개인정보 입력 및 노출방지를 위한 시스템 구축이 필요하다. 필터링 시스템이나 웹방화벽 등이 이에 해당된다. 또한 홈페이지 상의 개인정보 노출 여부 및 홈페이지 취약점 존재 유무 등에 대한 상시 모니터링이 수행돼야 하며, 다양한 보안교육프로그램을 통해 개인정보보호에 대한 인식제고에도 힘을 써야 한다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>