[취재수첩] 서울여성능력개발원의 허술한 보안

박상용 지식사회부 기자 yourpencil@hankyung.com


[ 박상용 기자 ] “아파트 관리실이 도둑을 예방한다면서 모든 가정의 현관 도어록 비밀번호를 ‘1234’로 바꿔버린 격입니다.”

한 보안업체 고위 관계자는 최근 서울시 산하 서울여성능력개발원의 웹사이트 보안 조치를 두고 ‘그야말로 황당한 일이 벌어졌다’고 했다. 서울여성능력개발원은 지난 7일 웹사이트 회원들에게 “비밀번호를 ‘1234’로 초기화했으니 다시 변경하라”고 공지했다. 컴퓨터 파일에 암호를 걸고 돈을 요구하는 랜섬웨어와 사이버 공격에 대비한다는 이유였다.

상황은 취지와 반대로 흘렀다. 아이디만 알면 누구나 로그인할 수 있어 순식간에 회원 37만 여 명의 개인정보가 무방비 상태에 놓인 것이다. 생년월일만 알면 비밀번호를 변경할 수 있어 계정 탈취도 가능했다.

지적이 나오자 서울여성능력개발원은 대책을 마련했다. 휴대폰 번호나 아이핀을 통해 본인 인증을 거쳐야 비밀번호를 바꿀 수 있도록 했다. 서울여성능력개발원은 보안 문제점을 인정하면서도 “비밀번호를 모두 변경한 건 보안 강화 차원에서 불가피했다”고 설명한다. 하지만 이해할 수 없는 설명이다. 랜섬웨어 예방은 비밀번호를 바꾸는 것보다 백신 등 소프트웨어 업데이트가 효과적이다. 보안 강화 차원에서 모든 회원의 비밀번호를 강제로 바꾼 사례는 본 적이 없다는 게 보안 전문가들의 지적이다.

해명 내용도 사실과 달랐다. 보안업계의 지적을 전하자 개발원은 “데이터베이스 서버를 옮기면서 암호 관리 프로그램을 바꿔야 했고, 이 과정에서 모든 비밀번호를 변경해야 했다”고 뒤늦게 털어놨다. 기존 암호관리 프로그램 라이선스를 갱신하면 비밀번호를 바꿀 필요가 없지만, 예산이 부족해 다른 프로그램을 사용하면서 벌어진 일이라는 설명이다.

상황은 아직 끝난 게 아니다. 개발원이 추가 조치를 내놓기 전까지 비밀번호가 바뀐 계정이 4000여 개에 달한다. 서울여성능력개발원은 이 가운데 개인정보 피해가 얼마나 있었는지도 파악하지 못하고 있다. 개인정보 유출 위험을 솔직히 알리고 회원들의 대응을 지원하는 일이 시급하다. ‘4차 산업혁명’의 키워드는 ‘융합’이다. 여성 인력개발도 정보기술(IT)과 동행이 필요한 시대로 바뀐 지 오래다.

박상용 지식사회부 기자 yourpencil@hankyung.com