진영 행정안전부 장관이 정부기관 웹페이지에 최소한의 보안 조치도 없음을 인정하고, 전 부처 전수조사와 대책 마련을 약속함. 진 장관은 7일 국회 행정안전위원회 행정안전부 국정감사에서 정부기관 웹페이지들에 대한 적극 조치와 전수조사를 시행하겠다고 밝혔다.

진 장관의 약속은 김영배 더불어민주당 의원이 직접 국정감사장에서 법제처 홈페이지 해킹을 시연하면서 이뤄졌다.

국회 행정안전위원회 소속 김영배 의원(더불어민주당, 성북 갑)이 보안 취약점을 발견한 정부기관 홈페이지를 대상으로 로그인 아이디와 비밀번호를 탈취했다. 구글에서 누구나 다운받을 수 있는 간단한 프로그램을 활용한 결과다.

행정안전부에서 ‘보안 서버 구축 조치 협조 지침’ 공문을 발신한 공공기관 홈페이지 1천280개를 김영배 의원실에서 전수조사한 결과, 2020년 10월 현재 폐쇄된 홈페이지 70곳을 제외한 1천210개 중 583곳(48.2%)이 최소한의 보안 조치도 하지 않는 것으로 드러나 심각한 상황임을 알 수 있다.

특히 대국민 서비스 홈페이지가 많은 보건복지부(80%), 농촌진흥청(85.7%), 제주특별자치도(75%), 대전광역시(64%), 전라남도(57.7%)의 순으로 웹페이지 미보안 비율이 높은 것으로 조사됐다.

김영배 의원이 행정안전부로부터 제출받은 ‘「행정·공공기관 웹사이트 구축·운영 가이드」에 따른 SSL인증서 및 https 적용 여부 리스트‘를 전수조사한 결과 기초 보안조치를 하지 않은 지자체가 대다수였다.

행정안전부에서 발송한 URL 1천280개를 전수조사 할 때 크롬, 익스플로러, 파이어폭스 등 브라우저 점유율 별 테스트와 포털사이트에서 검색해 들어갈 경우 보안조치가 유지되는지 여부도 확인했다.

보안 조치 미적용 정부 부처 홈페이지 중에는 정부입법지원센터, 군무원 채용관리, 국방부 채용, 국회 의정자료 전자 유통 시스템, 국회 후원금 관리 시스템, 대법원 통합관리 시스템, 정부 전자 문서 유통 지원 센터 등 개인정보와 정부 공공 문서를 주고받는 홈페이지도 포함됐다.

이 중 국세청 정보교환시스템, 국방부 전자조달 시스템, 국방부 채용시스템, 국가기록원 기록관리 교육센터, 서대문구 e-자동차 서비스 등의 홈페이지는 국내 웹브라우저 점유율의 63.6%를 차지하는 크롬 등 에서 ‘보안이 매우 취약하고 신뢰할 수 없기 때문에 접속을 권하지 않는다’는 메시지가 나타날 정도였다.

특히 Https를 적용했어도 포털사이트 검색을 통해 들어갈 경우 보안조치가 해제되는 웹사이트도 다수 발견됐다.

---

[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★