'개인정보 대량 이용' 홈피·O2O 등 97% 보안 '취약'
입력
수정
KISA, 112개 서비스 점검…IoT기기는 80개 모두 '허점'
변재일 의원 "보안 취약점 개선 위한 제도적 장치 필요"
다수의 이용자로부터 개인정보를 수집·이용하는 홈페이지와 O2O(온·오프라인 연계), 사물인터넷(IoT) 기기 가운데 97%에서 보안 취약점이 발견돼 대책 마련이 요구되고 있다.20일 국회 과학기술정보통신방송위원회 변재일 의원(더불어민주당)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 KISA는 작년 홈페이지 13개와 O2O 19개, 시중에 유통되고 있는 IoT기기 80종 등 112개 '다중이용 온라인 서비스'를 대상으로 이용자 보호를 위한 보안성 항목을 점검한 결과 이같이 나타났다.
점검 대상 홈페이지는 KB부동산, 네이버부동산, 다음부동산, 야놀자, 호텔패스 등이며, O2O는 배달의민족, 여기어때, 직방, 카카오택시 등이다.
IoT기기는 IP카메라, 공유기, 디지털 비디오 레코더(DVR), 네트워크 결합 스토리지(NAS) 등이 대상이다.점검 결과 대상의 97.3%인 109개에서 보안 취약점이 발견됐다.
홈페이지는 84.6%인 11개에서 중요 데이터 평문전송, 취약한 인증 및 세션 관리 미흡 등 45가지 취약점이 발견됐으며, 020는 94.7%인 18개에서 송수신 정보보호, 메모리 보호 미흡 등 67가지 취약점이 나왔다.
특히 IoT기기는 점검대상 80개 모두에서 취약점이 발견됐다.취약점은 전송 암호화, 네트워크 서비스, 개인정보보호 미흡 등 404개에 달했다.
KISA가 취약점이 발견된 홈페이지와 020 운영 업체에 개선 필요사항을 안내했지만 32개 업체의 절반인 16개 업체가 보안 개선 조치를 하지 않았다.
IoT기기의 취약점 발견 이후에도 개선 여부에 대한 점검이 이뤄지지 않았다.IoT기기에서 보안상 취약점이 발견되더라도 제조사가 보완 조치를 할 의무가 없기 때문이다.
이에 따라 개인정보 침해사고와 관련된 보안상 취약점이 발견되면 보완조치를 의무화하는 등 제도 개선이 이뤄져야 한다는 지적이 나온다.
변재일 의원은 "많은 국민이 이용하고 중요한 개인정보를 수집, 이용하는 서비스의 보안이 취약하면 해킹뿐만 아니라 개인정보 유출, 사생활 침해 등 2차 피해로 이어지는 만큼 보안 취약점을 시급히 개선해야 한다"며 "정부는 보안 취약점 점검과 개선 이행을 위한 제도적 장치를 마련해야 한다"고 말했다.[표] 2017년도 다중이용 온라인 서비스 점검 결과
┌──────┬───────────────────────────┬──┐
│ 구분 │ 취약점 점검결과 │개수│
├──────┼───────────────────────────┼──┤
│ 홈페이지 │파라미터변조, 중요 데이터 평문전송, 크로스 사이트 스크│45개│
│ │ 립트 인젝션, 취약한 인증 및 세션 관리 등 미흡 │ │
├──────┼───────────────────────────┼──┤
│ O2O 서비스 │입력 값 검증, 프로그램 무결성 검증, 송.수신 정보 보호,│67개│
│ │ 메모리 보호, 역분석 방지 등 미흡 │ │
├──────┼───────────────────────────┼──┤
│ IoT 기기 │웹 인터페이스, 인증/권한, 전송 암호화, 네트워크 서비스│404 │
│ │ , 개인 정보 보호 등 미흡 │ 개 │
└──────┴───────────────────────────┴──┘
(자료: 변재일 의원실, KISA)
/연합뉴스
변재일 의원 "보안 취약점 개선 위한 제도적 장치 필요"
다수의 이용자로부터 개인정보를 수집·이용하는 홈페이지와 O2O(온·오프라인 연계), 사물인터넷(IoT) 기기 가운데 97%에서 보안 취약점이 발견돼 대책 마련이 요구되고 있다.20일 국회 과학기술정보통신방송위원회 변재일 의원(더불어민주당)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 KISA는 작년 홈페이지 13개와 O2O 19개, 시중에 유통되고 있는 IoT기기 80종 등 112개 '다중이용 온라인 서비스'를 대상으로 이용자 보호를 위한 보안성 항목을 점검한 결과 이같이 나타났다.
점검 대상 홈페이지는 KB부동산, 네이버부동산, 다음부동산, 야놀자, 호텔패스 등이며, O2O는 배달의민족, 여기어때, 직방, 카카오택시 등이다.
IoT기기는 IP카메라, 공유기, 디지털 비디오 레코더(DVR), 네트워크 결합 스토리지(NAS) 등이 대상이다.점검 결과 대상의 97.3%인 109개에서 보안 취약점이 발견됐다.
홈페이지는 84.6%인 11개에서 중요 데이터 평문전송, 취약한 인증 및 세션 관리 미흡 등 45가지 취약점이 발견됐으며, 020는 94.7%인 18개에서 송수신 정보보호, 메모리 보호 미흡 등 67가지 취약점이 나왔다.
특히 IoT기기는 점검대상 80개 모두에서 취약점이 발견됐다.취약점은 전송 암호화, 네트워크 서비스, 개인정보보호 미흡 등 404개에 달했다.
KISA가 취약점이 발견된 홈페이지와 020 운영 업체에 개선 필요사항을 안내했지만 32개 업체의 절반인 16개 업체가 보안 개선 조치를 하지 않았다.
IoT기기의 취약점 발견 이후에도 개선 여부에 대한 점검이 이뤄지지 않았다.IoT기기에서 보안상 취약점이 발견되더라도 제조사가 보완 조치를 할 의무가 없기 때문이다.
이에 따라 개인정보 침해사고와 관련된 보안상 취약점이 발견되면 보완조치를 의무화하는 등 제도 개선이 이뤄져야 한다는 지적이 나온다.
변재일 의원은 "많은 국민이 이용하고 중요한 개인정보를 수집, 이용하는 서비스의 보안이 취약하면 해킹뿐만 아니라 개인정보 유출, 사생활 침해 등 2차 피해로 이어지는 만큼 보안 취약점을 시급히 개선해야 한다"며 "정부는 보안 취약점 점검과 개선 이행을 위한 제도적 장치를 마련해야 한다"고 말했다.[표] 2017년도 다중이용 온라인 서비스 점검 결과
┌──────┬───────────────────────────┬──┐
│ 구분 │ 취약점 점검결과 │개수│
├──────┼───────────────────────────┼──┤
│ 홈페이지 │파라미터변조, 중요 데이터 평문전송, 크로스 사이트 스크│45개│
│ │ 립트 인젝션, 취약한 인증 및 세션 관리 등 미흡 │ │
├──────┼───────────────────────────┼──┤
│ O2O 서비스 │입력 값 검증, 프로그램 무결성 검증, 송.수신 정보 보호,│67개│
│ │ 메모리 보호, 역분석 방지 등 미흡 │ │
├──────┼───────────────────────────┼──┤
│ IoT 기기 │웹 인터페이스, 인증/권한, 전송 암호화, 네트워크 서비스│404 │
│ │ , 개인 정보 보호 등 미흡 │ 개 │
└──────┴───────────────────────────┴──┘
(자료: 변재일 의원실, KISA)
/연합뉴스