국가 최고 수사기관, 공중파 방송사, 유명 신문사, 1천만명이 넘는 회원을 가진 커뮤니티 등 주요 웹사이트 상당수가 암호화 미비로 개인정보를 고스란히 노출, 타인 명의를 도용한 불법선거운동, 허위 투서, 명예훼손, 사기 등에 악용될 우려가 매우 높은 것으로 나타났다. 24일 네트워크와 보안업계에 따르면 주요 웹사이트 상당수가 서버와 PC 사이의로그인과 접속유지를 위해 반복 교환하는 쿠키(cookieㆍ용어설명 참조)에 주민등록번호, 실명, 실제 주소, e-메일 주소, 전화번호, 연령, 성별 등의 정보를 암호화되지 않은 평문으로 담는 방식을 사용, 이같은 문제점이 빚어지고 있다. 이런 사이트들은 난수 기반의 별도 인증키를 사용하지 않고 쿠키에 온갖 개인정보를 노출해 패스워드를 모르더라도 쉽게 다른 사람의 ID로 로그인할 수 있게 돼 있다. 특히 이 허점을 악용하면 타인 명의로 웹사이트에 가입하거나 타인의 ID로 게시판에 글을 남기고 개인정보 내용을 조작할 수 있어 최근 도입 여부를 둘러싸고 정치권 등에서 논란이 되고 있는 인터넷 게시판 실명제는 실효성이 전혀 없다는 지적도일고 있다. 연합뉴스가 확인한 결과 대검찰청 웹사이트(www.sppo.go.kr)는 ID, 이름, e-메일 주소, 실제 주소, 전화번호, 옴부즈맨 활동 여부 등을 평문으로 노출한 쿠키를사용하고 있었으며 이중 ID 부분만 바꿔치기하면 다른 사람의 ID로 수사제보와 투서를 하는 등 허위 민원신청도 가능했다. 공중파 방송사 A사의 웹사이트용 쿠키에는 주민등록번호, 이름, ID, 휴대전화,직업분류, 결혼 여부, 국적, e-메일 주소, 회원등급 등의 정보가 고스란히 담겨 있었으며 이 중 ID만 바꿔치기한 쿠키를 보내면 다른 사람의 ID로 접속해 마음대로 개인정보를 조작할 수 있었다. 또 다른 공중파 방송사 B사 사이트의 쿠키는 ID, 성별, 이름, e-메일, 주민등록번호 등의 정보를 평문으로 노출하고 있었다. B사는 서버와 PC 사이의 전송 과정에서는 128비트 암호화를 사용했으나 정작 서버나 PC가 쿠키를 받아본 상태에서는 개인정보가 평문으로 고스란히 노출되도록 돼있어 전송 과정 암호화는 무용지물인 상태였다. 유명 신문사 C사의 사이트는 ID, 회원등급, 이름이 들어간 쿠키를 사용하고 있으며 이 경우 자신의 ID로 일단 로그인한 뒤 쿠키 형식을 알아내고 여기서 ID만 바꾸면 곧바로 해당 ID로 로그인돼 주민등록번호, 주소 등 개인정보 열람과 게시판 글쓰기 등이 가능했으며 또 다른 유명 신문사 D, E사도 마찬가지였다. 특히 C사는 개인정보 관리화면에 주민등록번호의 뒷자리 7자리를 *으로 가려서보여주고 있지만 웹 브라우저가 제공하는 html 코드 보기를 실행하면 곧바로 주민등록번호 전체가 드러날 정도로 허술한 웹사이트 보안체계를 갖추고 있었다. 도합 1천만명이 넘는 회원을 가진 국내 최대의 커뮤니티 사이트 중 하나인 F사는 주 메뉴에는 이상이 없었으나 이 회사의 사이버 머니를 이용하는 하위메뉴 사이트의 쿠키 양식이 허술해 누구나 마음만 먹으면 여러 사람의 ID로 들어가 사이버 머니를 무단 이체하는 사기를 저지를 수 있게 돼 있었다. 익명을 요구한 한 전산 전문가는 "웹사이트들이 평문으로 된 쿠키를 이용하면간단한 파일 조작으로 쿠키를 특정 서버로 전송토록 하거나 네트워크상에서 가로채개인정보를 알아낼 수 있으며 대체로 쿠키 포맷에 맞춰 단어 바꿔치기만 하면 다른사람 ID로 접속할 수 있다"고 설명했다. 그는 "주요 포털들은 이미 이런 문제점을 발견하고 2000년께 난수화된 세션 쿠키만 사용하는 등 전면 개편작업을 벌였으나 정부기관, 언론사, 닷컴 등에 이런 사례가 아직 많이 남아 있다"고 설명했다. (서울=연합뉴스) 임화섭기자 solatido@yna.co.kr