[단독] 서울시 커뮤니티 '서울스토리'에서도 개인정보 유출

'안하나 못하나' 서울시 사이트 개인정보 여전히 줄줄줄

서울스토리 사이트가 와이어샤크로 진단한 결과 비밀번호 암호화를 미준수한 것으로 나타났다 [사진 = 정보화사회실천연합 제공 ]

아주경제 장윤정 기자 = 서울시가 운영하는 시민 커뮤니티 사이트 '서울스토리사이트 (http://www.seoulstory.org)'가 로그인 시 비밀번호 암호화 등이 적용되지 않아 보안에 무방비하다는 사실이 드러났다.

서울시의 개인정보보호 위반 사례는 이번 서울스토리사이트뿐만이 아니다.

본지의 단독 보도에 따르면 지난 1일 '서울시 와우 2.0 사이트'도 암호화를 적용하지 않았으며 지난달 8월 25일자에 보도한 '서울시 시니어포탈 +50' 역시 현재는 수정됐지만 당시 암호화를 준수하지 않았다. 앞서 본지 2월 6일자 ‘서울시, 경기도 등 홈페이지 정보샌다’ 제하의 기사에서도 서울시 대표 사이트들의 개인정보보호법 미 준수를 고발한 바 있다.

올초에는 서울시 4개 구청 강남구청ㆍ서초구청ㆍ 송파구청ㆍ은평구청 홈페이지의 암호화 미적용 사례도 본지의 취재를 통해 밝혀졌다.

 

이처럼 서울시의 개인정보보호 위반 사례가 끊이지 않아 보안불감증이 만연한 것으로 나타났다. 서울시 사이트 전반의 재점검이 시급한 실정이다. 

11일 본지의 조사에 따르면 서울시민 모두가 스토리텔러가 되어 서울의 이야기를 찾아간다는 온라인 플랫폼 형태의 '서울스토리' 사이트가 로그인 시 '비밀번호'의 암호화 처리를 하지 않는 것으로 나타났다. 

인터넷에서 누구나 구할 수 있는 패킷분석 프로그램 '와이어 샤크'로 진단한 결과 이 사이트는 암호화 조치를 하지 않아 비밀번호가 그대로 노출됐다.

해당 사이트는 회원가입 시 메일주소 외는 민감한 개인정보를 요구하지 않는다. 그러나 개인정보보호법 제29조에 따르면 '비밀번호 암호화'는 법적 준수사항이다. 서울시에서 운영하는 공공사이트에서 법을 준수하지 않는다는 것은 사고 여부를 떠나 기본에 어긋나는 행태다. 

손영준 정보화사회실천연합 대표는 "대부분의 사람들이 다수의 사이트를 서로 다른 비밀번호로 관리하지 않고 하나의 비밀번호를 사용하는 경우가 많다"며 "따라서 서울스토리 사이트로 직접적인 개인정보가 유출되지는 않더라도 가입시 사용한 비밀번호를 통해 타 사이트의 2차 유출도 우려된다"고 지적했다. 

한편 서울시가 운영하는 사이트에서 주민등록번호를 사용하는 경우도 발견됐다. 지난 8월 개정된 개인정보보호법에 따라 인터넷 사이트는 물론 오프라인에서도 가입 및 이용 시 주민등록번호를 요구하는 것은 불법이다. 

특히 서울시 장애인일자리 통합정보 사이트(https://job.seoul.go.kr/)의 경우 주민등록번호를 계속 이용하는 것으로 나타났다. 회원가입 시 주민등록번호를 요구하는 것은 물론 아이디, 비밀번호 분실 시 이를 찾기 위해서 주민등록번호 입력을 요청한다. 

이미 다수의 인터넷 사이트가 주민등록번호 사용을 지양하고 아이핀, 휴대전화 번호 등 기타 개인식별자료를 사용하고 있는 것을 감안하면 공공사이트의 대표격인 서울시 사이트가 아직도 주민등록번호를 사용중이라는 것은
납득하기 어렵다.

이처럼 최근 서울시가 운영하는 사이트에서 잇딴 개인정보보호 취약성이 발견되고 있어 서울시의 정보화 사업 전반에 대한 재검토가 시급하다는 지적에 무게가 실리고 있다.
 

서울시 장애인일자리 사이트의 경우 통합정보 아이디, 비밀번호 찿기 시 주민등록번호를 요구하고 있다 [사진 = 정보화사회실천연합 제공 ]