보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

산업부, 정부부처 정보보안담당관 등 110여명 개인정보 노출!

입력 : 2015-04-12 22:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
정부부처 보안관계자 및 보안업체 담당자 등 110여명 개인정보 노출
산업부 측 “홈피에 올렸다가 삭제한 자료인데 기록 남아...조치”

 

[보안뉴스 김경애] 산업통상자원부(이하 산업부)의 정보보안 세부지침 문서가 구글 검색을 통해 외부로 노출됐다. 이로 인해 중요문서뿐만 아니라 정부부처 및 국가기관의 보안관계자 110여명의 개인정보가 고스란히 노출되면서 파장이 커지고 있다.

 

  ▲ 지난 10일 구글 검색을 통해 다운로드가 가능했던 산업부 문서내 개인정보.


각 부처 정보보안담당관 및 보안업체 담당자 개인정보 노출

외부로 노출된 문서는 ‘산업통상자원부 정보보안 세부지침(훈령 제61호)’으로 문서 안에는 개인정보, 정보화사업 단계별 보안조치 사항 등이 기재돼 있다.

 ▲ 지난 10일 개인정보가 포함된 산업부 문서의 구글 검색 캡처화면


이렇게 노출된 개인정보는 △긴급대응반 비상연락망 담당자 17명 △산업부 유지보수업체 담당자 29명 △악성코드 샘플 제공 대상 정보보호업체 담당자 13명 △비상연락망으로 금융위, 기재부, 미래부, 국방부, 대검찰청, 국보연 등 22개 유관기관 담당자 57명의 부서와 이름, 직급, 연락처, 휴대폰번호 등  총 110여명에 달한다.


특히, 긴급대응반 비상연락망의 경우 정보보안담당관의 핸드폰 번호를 비롯해서 네트워크 관리자, 데이터베이스 관리자, 그룹웨어 관리자, 이메일 시스템 관리자, 홈페이지 관리자, 보안시스템 관리자 등으로 담당업무가 세세하게 구분돼 있으며, 식별 가능한 개인정보가 기재돼 있다.

이와 관련 법무법인 민후의 김경환 대표변호사는 “아무리 국가기관이라도 개인정보를 노출하거나 유출해서는 안 된다”며 “특히 일반기업에서도 구글 검색엔진을 통해 개인정보가 노출되는 사례가 종종 있는데 개인정보보호 위반사항에 해당될 수 있어 주의해야 한다”고 지적했다.


훈령 외에 중요문서 대거 포함

이번에 노출된 문서에는 훈령 뿐만 아니라 주요 내부문서가 대거 포함돼 있어 산업부의 미흡한 문서관리가 도마 위에 오를 것으로 보인다.


해당 문서를 자세히 살펴보면 △130조로 구성된 훈령 제61호 △별표 4로 첨부된 문서에는 통신보안 위규사항, 정보보안 사고유형, 정보보호시스템 유형별 도입요건, 검증대상 암호 알고리즘 목록, 정보보안업무 세부 추진계획 등이 포함돼 있다. 이와 함께 △별지서식으로 정보보안업무 심사분석, 전파측정 활동 결과보고, 서약서 등 산업부 정보보안 세부지침 별지 제28서식 등이 있다. 이 외에 △부록으로 정보화사업 단계별 보안조치 사항 등 외주 용역사업 보안특약 조항 10개, 사업자 보안위규 처리기준(예시), 보안 위약금 부과 기준(예시) 등의 파일도 함께 첨부돼 있다.


이 가운데 피해기관 목록표 문서파일에는 한국전력과 한국수력원자력의 정보통신망 중요도가 A, B, C로 구분되어 표기돼 있으며, 현장출동 또는 원격복구 등의 지원형태, 우선순위, 처리결과 등이 정리돼 있다.


게다가 문서 중에는 보안관련 매뉴얼로 추정되는 문서가 포함돼 있었으며, 해당 매뉴얼이 인터넷에 노출되거나 외부로 반출되지 않도록 관리에 만전을 기해줄 것을 당부하는 문구까지 적혀 있었다. 

이와 관련 한 보안전문가는 “해당 문서에는 보안과 관련한 긴급사항 정보는 물론 유관부처 보안담당자 등 보안상 중요한 사람들의 개인정보가 대거 포함돼 있어 공개용 자료보다는 내부자료로 보인다”며 “해당 문서가 포함된 게시글이 산업부 웹사이트에는 육안으로 보이지 않는 걸로 봐선 공개할 의도가 없는 문서”라고 분석했다.


내부문서 보안관리 허술 지적

규정이나 지침 등이 포함된 기존 훈령의 경우 산업부 웹사이트 게시판에 공개자료로 올라와 있는 경우가 많다. 그러나 산업부 게시판에는 훈령 59호까지 올라와 있으며, 구글 검색으로 노출된 훈령 61호는 보이지 않았다.

▲ 지난 10일 구글 검색을 통해 노출된 산업부 게시판 캡처화면


하지만 구글 검색을 통해 접속한 결과, 산업부 홈페이지 게시판에는 ‘산업통상자원부 정보보안 세부지침’이란 제목으로 ‘산업통상자원부 정보보안 세부지침(훈령 제61호)’ 한글문서가 첨부돼 있었다. 이는 해당 문서가 공개용 게시판에서는 정상적으로 보이진 않지만 실제로는 외부에서 접근이 가능한 상태로 구글에 노출돼 있는 것을 의미한다.


해당 문서는 산업부 웹사이트 게시판에 2014년 12월 17일 등록된 것으로 표시돼 있으며, 게시글은 10일 저녁 6시 기준으로 215명이 조회한 것으로 기록됐다. 다시 말해 게시판에 문서를 올린 지난해 12월 17일부터 지난 4월 10일까지 4개월이 지나도록 구글에 노출된 상태로 방치돼 있었던 것이다.


이에 대해 한 보안전문가는 “개인 연락처가 대거 포함돼 있는 문서를 아무런 보안장치 없이 검색엔진을 통해 검색 가능하도록 한 건 너무나 큰 문제”라며 “검색을 통해 노출되지 않도록 차단조치를 하지 않는 것으로 보인다. 또한, 내부문서의 경우 아이디와 비밀번호로 로그인 설정을 해야 하는데, 이러한 조치마저 미흡했다”고 지적했다.


또 다른 보안전문가는 “해당 문서는 산업부 웹사이트에서도 검색되고, 구글에서도 검색된다”며, “무엇보다 해당 문서가 검색엔진을 통해 바로 다운로드 된다는 건 권한 설정을 잘못한 것으로, 이는 산업부 웹사이트의 경우 게시글이 서버에 존재하기 때문”이라고 지적했다.


이와 관련 산업부 관계자는 “해당 문서는 개인정보 등이 포함돼 있어 당시 올렸다가 삭제했던 파일인데, 관련기록이 남아 문제가 된 것 같다”며 “현재 산업부 홈페이지는 조치를 취했으며, 구글에도 조치하도록 요청한 상태”라고 밝혔다. 

이번 사건에 대해 한 보안전문가는 “내부 검색엔진과 구글을 통해 검색이 가능하다는 것은 시스템에서의 파일 삭제처럼 파일 리스트만 지워지고, 파일 내용은 그대로 남아있다는 것”이라며, “내부자료는 내부 시스템에서만 존재해야 하는데 외부인도 접속 가능한 홈페이지에 내부자료를 올린 것은 설정문제 뿐만 아니라 정책상으로도 문제가 있다. 내부용 메일과 문서, 웹사이트의 경우는 서버를 따로 두는 것이 바람직하다”고 강조했다. 

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

YongMin Jeff Shin 2015.04.13 11:31

"개인정보 암호화 필수!
D`Amo 문의 많이 주세요~~"


  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)