개인정보보호 담당자인 A모씨는 최근 보안접속(SSL암호화)환경으로 웹페이지를 적용하면서 보다 안전한 홈페이지를 구축했다고 생각했다. 하지만 이는 오산이었다. 평소 개인정보 필터링 솔루션을 통해 관리를 하고 있었음에도 고객게시판에 개인정보가 그대로 노출되어 보인 것이다. 암호화 전송이 적용된 홈페이지에서 왜 이런 개인정보 유출 사건이 발생했을까?
 
◇암호화 전송 후 개인정보 그대로 보여…웹서버 개인정보 필터링 어떻게?
관리자의 실수로 공지사항의 첨부파일에 합격자 개인정보가 올라가거나 문의게시판에 민원인 본인의 개인정보를 올려 구글에서 검색되는 등 개인정보 유?노출 사건이 지속적으로 발생하고 있다. 이를 방지 하기 위해서 다수의 기관 및 기업들은 웹서버 개인정보보호 솔루션을 구축해 활용하고 있다. 이 솔루션은 웹페이지에 있는 개인정보를 진단하거나 신규 글에 개인정보가 포함되어있을 경우 차단하는 역할을 한다.
 
하지만 보안접속환경에서는 개인정보 필터링이 제대로 적용되지 않는 문제가 발생한다. 데이터를 주고 받을 시에 ‘암호화 전송’을 하므로 솔루션이 실제 내용 안에 존재하는 개인정보 유무를 파악할 수 없다.
 
언뜻 보기에 안전해 보이는 보안접속 환경이지만, ‘전송 시’에만 암호화가 진행되고 전송 후에는 다시 복호화 되므로 게시판에는 사용자가 작성한 개인정보 글이 그대로 노출 되는 보안 허점이 존재하는 것이다.
 
웹페이지에 보안접속환경을 적용 시 꼭 필요한 전자상거래나 로그인 페이지만 적용하는 경우에는 개인정보 유?노출 사건 발생이나, 솔루션 적용에 별 문제가 없다.
 
문제는 무분별한 보안접속환경 적용이다. 특히 불필요하게 전체 사이트를 보안접속환경으로 적용하여 일반게시판 등 모든 페이지를 암호화 적용을 한 경우가 가장 큰 문제다.
 
이 경우 전송 시 개인정보 필터링 솔루션이 암호화 된 값을 해독하지 못해 개인정보 유무를 정확히 알 수 없다. 제대로 개인정보 필터링이 되지 않은 데이터는 암호화 전송 후 게시판에서 암호화가 풀리는 동시에 개인정보가 그대로 나타나게 된다. 이는 곧 개인정보 유출 및 노출사건으로 연결된다.
 
◇보안접속 환경에서도 OK, 웹서버 개인정보 필터링 솔루션 진화
웹페이지 환경 변화에 관련 보안 솔루션들도 발맞추어 진화하고 있다. 개인정보보호 전문기업 컴트루테크놀로지는 셜록홈즈 PrivacyCenter(프라이버시센터)에 보안접속 환경에서도 개인정보 필터링을 할 수 있는 기술을 추가적으로 개발했다고 밝혔다.
 
이 기업 웹 개인정보보호팀 관계자는 “사용자가 요청한 암호화 패킷이 바로 웹서버로 전송되는 것이 아니라 신뢰된 인증서를 가진 셜록홈즈 PrivacyCenter에 먼저 도달하게 된다. 안전한 환경에서 먼저 개인정보를 필터링 한 뒤 이상이 없을 경우 다시 안전하게 암호화 하여 웹서버로 전달한다”고 강조했다.
 
암호화 전송구간 사이에 신뢰된 정류장을 하나 만들어 그 곳에서 검열을 한다고 생각 하면 쉽다. 즉 보안접속환경에서도 개인정보 필터링을 통해 전송 시뿐만 아니라 전송 후 게시판, 첨부파일 내의 개인정보가 남지 않도록 안전하게 보호 할 수 있다.
 
특히 공공기관의 경우 7월 말까지 안행부가 공공홈페이지 전체 공개를 진행하면서 기관 홈페이지 내 개인정보의 유무를 파악하고 처리하는 데 공을 들이고 있다.
 
컴트루테크놀로지 관계자는 “웹서버 개인정보보호 솔루션인 셜록홈즈 PrivacyCenter는 경상남도청, 충청남도청, 경기도교육청, 성균관대학교 등 다양한 공공기관에서 활용 중에 있다. 특히 감사원, 안양시청 등 보안접속환경이 적용된 웹페이지에서도 안전하게 개인정보보호 작업을 수행하고 있다”고 언급했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com