[여성종합뉴스/김형주기자] 시민단체 정보화사회실천연합(정실련)은 16개 지자체 홈페이지를 분석한 결과 가입이나 로그인 페이지에서 개인정보를 전송할 때 암호화가 적용되지 않는 사례를 발견했다고 6일 밝혔다.

이런 '구간 암호화'가 적용되지 않은 지자체 홈페이지는 서울시, 경기도, 경상남도, 제주도로 파악됐다.

정실련은 지난달 31일 인터넷 패킷 분석 프로그램인 '와이어샤크'를 이용해 분석한 결과 이름과 주민등록번호, 아이디와 비밀번호 등이 암호화되지 않은 채 전송되는 사실을 발견했다.

서울시 홈페이지에는 로그인 페이지와 회원가입 본인확인 페이지에서 각각 아이디와 비밀번호, 이름과 주민등록번호가 암호화되지 않은 채 전송되고 있었다.

경기도 홈페이지에서는 로그인 페이지와 비회원 로그인 페이지에서 각각 아이디와 비밀번호, 이름과 주민등록번호가 암호화되지 않았다.

경상남도와 제주도는 로그인 페이지에서 아이디와 비밀번호가 암호문이 아닌 평문으로 전송되고 있었다.

 개인정보보호법 24조 3항에는 '고유식별정보를 처리하는 경우 해당 정보가 유출되지 않도록 암호화 등 안전성 확보에 필요한 조치를 해야 한다'고 규정돼 있다.

암호화하지 않을 경우 패킷 캡처 프로그램을 이용하면 손쉽게 입력한 개인정보를 볼 수 있다.

인터넷 회선을 통로에 비유하자면, 개인정보가 이동하는 통로는 불투명하게 처리돼야 하지만 이들 지자체의 경우 유리 통로로 처리해 내부를 훤히 들여다 볼 수 있는 셈이다.

한국인터넷진흥원 관계자는 "개인 컴퓨터에 악성코드가 심어져 있을 경우 패킷을 중간에 쉽게 가로챌 수 있다"면서 "암호화가 되지 않았다면 개인정보가 고스란히 노출된다"고 설명했다.

 따라서 서울시와 경기도, 경상남도, 제주도는 현행법을 위반했음은 물론, 개인정보 유출 가능성을 방치한 셈이다.

문제는 이런 개인정보 전송 구간 암호화가 미비한 공공기관 웹사이트가 한두 군데가 아니라는 점이다.

정실련은 지난해에도 안전행정부(당시 행정안전부) 일부 홈페이지와 공공기관 등 모두 60여 개 홈페이지에서 암호화를 하지 않았다는 사실을 발견해 한국인터넷진흥원에 신고했다.

그 결과 주무부처였던 행정안전부 개인정보보호과는 신고된 사이트 가운데 80%에서 문제가 있다고 판단해 '개선권고' 조치했다.

앞서 지난 1월 말 카드사 개인정보 유출 대란 당시 NH농협카드 개인정보 유출 확인사이트에서도 이 같은 암호화가 이뤄지지 않아 2차 개인정보 유출 위험이 있다는 문제가 제기돼 농협 측이 부랴부랴 수정하는 일도 있었다.

정실련은 "최악의 개인정보 유출 사태가 심각한 사회문제로 대두하고 있는 상황에서 일부 지자체에서 개인정보보호법을 준수하지 않고 있었다"면서 "해당 지자체의 개인정보 보호 의식 결여가 심각한 수준"이라고 비판했다.