[환경일보] 기상청 산하 기관인 한국기상산업기술원 홈페이지가 허술한 보안관리로 지난 3월 해킹돼 고객들의 개인정보가 유출된 것으로 밝혀졌다.

기술원 측은 개인정보 유출을 부인했으나 확인 결과 민감한 개인정보는 물론 기상산업정보까지 유출된 것으로 밝혀져 파문이 일고 있다.

국회 환경노동위원회 신보라 의원(자유한국당)이 기상청으로부터 제출받은 자료에 따르면, 지난 3월 한국기상산업기술원(이하 기술원)의 홈페이지가 중국발 공격으로 인해 관리자 권한이 탈취됐다.

기술원 측은 홈페이지 서비스 끊김 현상 등 이상 징후가 포착되자 홈페이지 네트워크를 차단하고 5일간 홈페이지 서비스를 중단했으나, 이미 관리자 권한이 탈취돼 홈페이지 서버에 있던 고객 개인정보가 유출된 상태였다.

당시 기술원 홈페이지 방화벽 정책이 외부 접속이 가능한 환경으로 설정됐으며, 특히 2016년 홈페이지를 개편한 이후 위탁업체에서 최초로 설정했던 쉬운 문자열의 계정과 암호를 그대로 사용한 것으로 밝혀졌다.

30일 열린 국회 환경노동위원회 국정감사에서 신보라 의원은 “정보 보안의 ABC만 알아도 관리자 계정을 이렇게 설정하지 않았을 것”이라며 “기술원 담당자의 허술한 보안 의식이 해킹을 초래했다”고 지적했다.

기술원 정보보안 담당자는 회원가입 없이 운영되는 홈페이지 특성상 수집되는 개인정보가 없어 고객들의 개인정보 유출 등의 피해 특이사항은 없다고 설명한 바 있다.

하지만 신보라의원실에서 자체적으로 기술원 홈페이지를 조사한 결과 회원가입 외 개인정보를 수집하는 항목이 별도로 존재했으며, 국내 기상산업 기업들의 정보들도 포함된 것으로 밝혀져, 기술원의 해명이 거짓으로 드러났다.

홈페이지에서 개인정보를 수집하는 항목은 ▷클린신고센터▷고객의 소리▷측기검정▷기업지원 신청서 접수 등 4가지 항목이며, 특히 측기검정 신청 항목에는 기상측기검정민원인의 ▷이름 ▷생년월일 ▷주소 ▷전화번호 ▷이메일 등을 의무적으로 기재해야 한다.

이에 신 의원은 “해킹을 당하고도 아무런 조치를 취하지 않았다”며 “기술원 측은 의원실의 지적을 받은 후에서야 홈페이지 해킹 및 개인정보 유출에 대한 양해문을 게시했다”고 밝혔다.

한편 기상청 산하 기관 3곳 중 2곳은 개인정보보호, 전산시스템 관리 등 정보보안업무를 전담하는 인력이 없으며 다른 업무와 병행하는 등 보안성이 취약한 상태다.

신 의원은 “한국기상산업기술원은 허술한 보안 관리로 홈페이지를 해킹 당했음에도 이를 묵인하고 제대로 대처하지 못한 것은 큰 문제”라며 “전반적으로 기상청 및 산하기관이 정보보안에 대한 시스템이 전혀 갖추지 못했다”라고 지적했다.

이에 대해 한국기상산업기술원 김종석 원장은 "은폐하려 한 것은 아니라 전산망 문제를 해결하고 재확인 했을 때 개인정보 보안에 유출돼서 개별적으로 알렸다"며 "현재 보안 담담 직원 채용절차를 진행하고 있다"고 답변했다.