국내 공공기관 홈페이지 87.4%가 안전한 패스워드를 사용하지 않는 것으로 조사됐다. 국내 공공기관 10개중 9개는 빗장을 불안하게 걸어 잠근 셈이다.
30일 한국암호포럼이 개최한 ‘암호의 역할 워크숍’에서 이광우 성균관대 정보보호연구소 박사는 회원가입이 가능한 공공기관 홈페이지 127개 가운데 111개(87.4%)가 패스워드 안전성이 미흡하다고 지적했다.
111개 기관 중에서 한국예탁결제원, 한국조세연구원, 한국산업기술진흥원, 경상대학교병원 등 22개 기관은 심지어 한자리 수 패스워드를 입력해도 회원가입이 가능했다. 한국수출입은행은 ‘영문+숫자’ 조합을 회원가입 규정에 명시하고 있으나 실제 영문 패스워드만으로 가입이 가능한 것으로 확인됐다.
기초전력연구원의 경우 한번 설정한 패스워드는 변경이 불가능했다. 하지만 최근 발효된 개인정보보호법이 사고에 대비해 패스워드를 자주 바꾸도록 ‘일방향암호’를 규정하고 있는 것을 감안하면 개인정보보호법에도 위배된다.
국제방송교류재단, 한국지질자원연구원, 코레일테크 등은 장애인차별금지법도 위반한 것으로 드러났다. 이들 사이트는 가입 시 자동 가입을 방지하는 ‘CAPCHA’를 적용하고 있으나 이는 시각장애인들이 이용할 수 없어 장애인차별금지법에 위배된다. 회원가입 시 텍스트가 아닌 이미지 형태의 CAPCHA 입력을 의무화하면 스크린리더가 읽을 수 없어 홈페이지 이용이 제한되기 때문이다.
전체 조사 대상 기관 중 85%(108개)는 패스워드 구성이나 길이가 기준에 미치지 못했으며, 41.7%(53개)는 패스워드가 암호화되지 않고 전송돼 패스워드가 노출되는 것으로 나타났다. 그 밖에도 안전한 패스워드 기준은 명시하고 있지만 구현상 오류가 있는 경우가 3.7%(4개), 입력 가능한 패스워드 기준 자체를 명시하지 않는 경우도 7.4%(8개)나 확인됐다.
이광우 박사는 “정부에서 발행한 패스워드 선택 및 이용 안내서에 따라 조사했음에도 불구하고 정부기관들이 이를 지키지 않고 있다”며 “장기적인 관점에서 정부 기관부터 솔선수범해 안전한 패스워드 정책을 수립, 시행해 나가야 할 것”이라고 지적했다.
이번 조사는 지난해 방통위와 한국인터넷진흥원에서 발간한 ‘패스워드 선택 및 이용 안내서(이하 안내서)’를 기준으로 분석됐다. 안내서에 따르면 안전한 패스워드는 △제3자가 쉽게 추측할 수 없는 패스워드 △패스워드 전송·저장 시 암호화 기준을 충족해야한다 등의 기준을 명시하고 있다. 또한 이번 조사대상 공공기관은 중앙행정기관을 제외한 ‘기획재정부 지정 국내 공공기관’에 속하는 기관들이다.
장윤정기자 linda@etnews.com
