정보통신부가 해킹방지를 지원하기 위해 마련한 정보보호 포털 사이트가 28일 개설되자마자 사실상 해킹을 당하는 등 보안에 치명적인 허점이 있는 것으로 드러났다. 인터넷 보안에 대해 책임을 진 정부기관이 정보보호를 위해 만든 사이트가 힘없이 무너져 앞으로 적지않은 파문이 예상된다. 관련업계에 따르면 정보통신부의 정보보호 포털사이트 '보호나라'(www.boho.or.kr)의 각종 정보를 담고 있는 데이터베이스(DB)에 접근할 수 있는 아이디와 패스워드가 손쉽게 일반에 노출됐다. 데이터베이스 접근 아이디는 'kcve',패스워드는 't??kcve'였다. 이 정보를 얻을 경우 'SQL게이트'란 프로그램만 있으면 쉽게 데이터베이스에 접속, 저장된 자료를 열람·변조·삭제할 수 있다. 특히 단순한 웹사이트 해킹이 아니라 데이터베이스 접근 권한이 노출됐기 때문에 정보보호와 관련된 정부 자료와 축적된 노하우가 순식간에 사라지거나 변질될 위험에 노출된 것으로 드러났다. ◆정보획득 경로=데이터베이스 아이디와 패스워드는 몇 번의 클릭으로 손쉽게 얻을 수 있었다. 보호나라 웹사이트 초기화면의 '취약점DB'에 오른쪽 마우스를 클릭, ?새 창에서 열기?를 누르면 새 창이 띄워지고 이 곳에 'http://211.252.151.230:8080/boho/boho/search.php'란 주소가 뜬다. 이 주소 가운데 'search.php'를 삭제한 후 클릭하면 여러 파일들이 보여지는데 여기서 'include/'와 'global.inc'를 순서대로 클릭하면 인터넷 창에서 아이디와 패스워드를 볼 수 있다. 이 정도면 초보적인 해킹 지식만 있어도 손쉽게 아이디와 패스워드를 찾을 수 있다는 게 전문가들의 설명이다. ◆노출된 데이터베이스=데이터베이스 아이디와 패스워드가 노출되면 이를 통해 얼마든지 해당 시스템에 들어가 자료를 마음대로 주무를 수 있다는 게 전문가들의 지적이다. 한 보안업체 관계자는 "아이디와 패스워드가 노출되면 웹사이트 해킹을 통해 자료접속 권한을 획득할 수 있어 얼마든지 데이터베이스 접속이 가능하다"고 말했다. 이에 대해 정보보호진흥원 관계자도 문제점을 인정했다. ◆뒤늦은 대응=정통부는 이런 문제가 발견된 지 8시간 이상이 지나서도 사태를 파악하지 못했다. 웹사이트를 직접 구축, 운영하고 있는 정보보호진흥원도 뒤늦게 문제점을 파악하고 일반인이 아이디와 패스워드를 볼 수 없도록 조치를 취했다. 정보보호진흥원의 한 관계자는 "웹사이트 개설을 서두르다보니 이런 실수가 있었다"고 털어놓았다. 이에 대해 한 보안업체 관계자는 "정부의 대표적인 보안 사이트가 노출됐다는 것만으로도 인터넷 강국이란 위상이 크게 흔들릴 수밖에 없다"고 지적했다. 김남국 기자 nkkim@hankyung.com