2020-11-30 00:35 (월)
행안부, HTTPS-Only 정책 도입 및 정부발급 인증서 구축 계획 수립
상태바
행안부, HTTPS-Only 정책 도입 및 정부발급 인증서 구축 계획 수립
  • 길민권 기자
  • 승인 2020.10.26 16:26
이 기사를 공유합니다

행안부, 10월 말까지 정부부처·지자체·공공기관 웹페이지 3만 여 개 전수조사 완료

행정안전부가 전부처·지자체·공공기관을 포함한 전수조사를 통해 HTTPS-ONLY(모든 정부부처 및 지자체 홈페이지에 HTTPS도입)정책 도입 및 정부 발급 인증서 구축 계획을 밝혔다.

지난 7일 행정안전부 국정감사에서 김영배 더불어민주당 의원이 직접 국정감사장에서 법제처 홈페이지 해킹을 시연하며, 1천210개 중 583곳(48.2%)이 최소한의 보안 조치를 하지 않음을 지적한 결과다.

이에 행안부는 ‘공공기관 웹사이트 암호화(HTTPS) 계획 검토·보고’을 진영 장관에게 보고하며, 국정감사에서 HTTPS 미적용 웹사이트를 대상으로 보안 취약점을 지적받았다며, 공공기관 웹사이트 암호화(HTTPS) 계획을 수립했다.

행안부는 HTTP는 웹사이트와 웹브라우저 사이에 데이터를 평문으로 송·수신하는 반면, HTTPS는 암호문으로 송·수신하는 데 차이가 있고, HTTPS 미적용 시 사용자 PC와 웹사이트 간 정보가 평문으로 송·수신돼 누구나 와이어샤크 등 프로그램을 이용하여 아이디와 비밀번호 등의 중요 정보를 볼 수 있다고 밝혔다.

와이어 샤크(Wire Shark)란 네트워크의 오류 분석 등을 위해 개발된 패킷 분석 프로그램(오픈소스)이지만, 본래의 용도와 달리 악의적으로 이용될 가능성이 있다.

국회 행정안전위원회 소속 김영배 의원(더불어민주당, 성북 갑)이 행정안전부에서‘보안 서버 구축 조치 협조 지침’ 공문을 발신한 공공기관 홈페이지 1천280개를 전수조사한 결과, 2020년 10월 현재 폐쇄된 홈페이지 70곳을 제외한 1천210개 중 583곳(48.2%)이 최소한의 보안 조치도 하지 않는 것으로 드러났다.

특히 대국민 서비스 홈페이지가 많은 보건복지부(80%), 농촌진흥청(85.7%), 제주특별자치도(75%), 대전광역시(64%), 전라남도(57.7%)의 순으로 웹페이지 미보안 비율이 높았다.

행정안전부는 김영배 의원이 국정감사에서 지적한 HTTPS 미도입 웹사이트에 즉시 HTTPS도입 조치를 하겠다고 밝혔다. 또한 HTTPS를 도입했으나, 포털사이트 등에서 검색했을 때는 적용이 되지 않는 사이트도 자동전환하도록 즉시 조치를 실시했다.

행정안전부는 10월 말까지 중앙·지자체·공공기관 웹사이트 전수조사를 마치겠다고 밝혔다. 이번 전수조사는 행정안전부가 ‘전자정부법’ 제 24조 제1항에 의거해 마련한 전자적 대민서비스와 관련한 보안대책을 수립·시행하는 지자체 및 공공기관 897개 관할 3만 여 개 웹페이지를 대상으로 했다.

개인정보 취급 여부, SSL 도입 여부, HTTP로 접속할 경우 HTTPS로 자동 전환조치 여부, 현재 사용하고 있는 해외 인증서 업체와의 계약기간 및 가격 등을 포함한다. 행정안전부는 전수조사 결과를 바탕으로 12월까지 “HTTPS-ONLY” 정책을 검토할 예정이다.

행안부는 2018년 8월까지 정부 제작 웹서비스 인증서를 사용한 최소한의 보안 조치 지침을 정부 기관에 내리고 행안부가 개발한 홈페이지 적용 인증서 설치 여부를 전수조사 후, 보안이 미비한 기관에 대해 https 적용을 돕고 권고했으나 현재 중단상태다.

행안부는 2018년 8월부터 행정안전부 발급 웹사이트 포안 인증서(G-ssl)발급을 중단하면서, ‘개인정보의 안전성 확보조치 기준 해설서’상 정부의 공공기관 및 공기업 홈페이지 평가 기준에서 ‘기초 암호화(Https)’를 제외했다.

행안부가 지난 8년(′11~′18) 동안 추진하던 ‘공공기관 보안서버 확대 보급 계획’에 따라 사기업과 공공기관 모두 고유식별정보 처리제한 및 개인정보의 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 의무화했던 방침에 역행하는 조치였다.

보안서버 구축을 위한 정부 개발 웹서비스 인증서(G-ssl) 2천454여 개를 발급하며 의무적용을 권고하던 정부가 ‘모바일에서 정부개발 인증서 오류가 나타난다’는 이유로 G-ssl발급을 중단하고, 행정부와 지자체 및 공기업의 최소 보안조치를 했는지 여부에 대한 관리를 하고있지 않은 것이다.

행정안전부는 행정기관 및 공공기관 정보시스템 구축·운영 지침(행정규칙)에 따라 모든 행정기관의 정보시스템 구축·운영에 있어서 준수할 표준 절차를 정하고 평가할 의무가 있다.

행안부는 현재 가장 기본적인 단위의 보안체계도 갖추지 않은 공공기관의 홈페이지를 점검하고 관리하지 않은 채 매년 가이드 라인만 제작해 배포하고 있는 상황이다.

김 의원은 “국민의 전자정부 서비스 페이지에서 국민의 로그인 정보가 손쉽게 탈취될 수 있는데도 관리를 멈춘 것은 대국민 신뢰성 손실 및 글로벌 수준에 미달하는 보안 수준을 나타내는 것”이라고 비판했다.

행정안전부는 김영배 의원이 국정감사에서 지적한 사항에 대해 전부 인정하고, 일부 웹사이트들에 대한 즉각 조치를 시행했다.

김영배 의원실과 행정안전부는 향후 HTTPS의무 도입, 정부 인증서 구축과 사용, 정부·지자체·공공기관의 온라인·모바일 페이지에 대한 보안 사항 매년 최신 기술 동향으로 유지 등을 「전자정부법」개정안에 담을 예정이다.

김영배 의원은 “정부부처의 온라인 페이지는 국민의 삶에 영향을 미치는 중요한 정보들이 오가기 때문에 기초 보안 조치는 필수”라며 “향후 모든 정부부처의 홈페이지에 HTTPS를 적용하는 ‘Https-only’를 실현하려면, 우리 정부가 개발한 인증서를 현재 보안 수준에 맞춰 계속 기능을 개선해 사용하는 게 중요하다. 지금은 해외 업체의 인증서만 있는데, 정부 웹페이지 성격을 반영한 국제 인증 SSL인증서 구축 및 도입에 최선을 다해야 한다”고 강조했다.


[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★