정보통신산업진흥원(NIPA)의 오픈 PaaS(Platform as a Service)가 로그인 할 때 패스워드(PW) 암호화를 하지 않는 것으로 확인됐다. 이는 개인정보보호법 위반일뿐 아니라 클라우드 서비스 특성상 비밀번호가 유출되면 클라우드 상의 소스코드가 유출될 위험성이 높아 개선이 시급한 상황이다.
지난해 이런 사실이 밝혀져 지적을 받았지만 아직 개선이 되지 않았다는 점도 문제다.
보안업체 한 관계자는 "지난해 공공기관 개인정보관리 수준 진단 결과, 개선이 필요하다는 지적을 많이 받았는데 아직까지 개선이 안된 것 같다"고 말했다.
K-ICT 클라우드혁신센터 오픈PaaS는 클라우드 기반에서 SW개발과 테스트, 실행을 할 수 있는 개발 환경을 제공하는 서비스다. 개발에 필요한 모든 인프라와 미들웨어를 제공하고 있다. 중소기업이나 대학생, 스타트업이 PaaS 서비스를 이용할 수 있으며, 현재 15개의 스타트업과 500여명의 개인 개발자, 학생들이 활용하고 있다.
PaaS 서비스가 클라우드 방식으로 운영되기 때문에 ID와 비밀번호가 유출될 경우, 기업이나 개발자들이 힘들게 개발해 놓은 원천 기술을 송두리째 빼앗길 수 있다는 것이다.
PaaS는 개발에 필요한 개발 요소들을 웹에서 쉽게 빌려쓸 수 있도록 한 모델이다. 따라서 PaaS 내에 저장된 데이터는 핵심을 이루는 SW 소스코드들이 모두 저장돼 있다.
클라우드는 4차산업혁명의 근간을 이루는 핵심으로 꼽힌다. 때문에 한국 정부는 클라우드 산업을 육성하기 위해 다양한 정책을 펼치고 있다. 이런 상황에서 자칫 클라우드 PaaS 서비스의 보안에 문제가 발생하면 클라우드 산업 전체에 타격을 입힐 가능성이 매우 높다.
또 NIPA는 국내 정보통신산업을 지원하고 진흥 기반을 조성하는 역할을 담당하는 등 국내 클라우드 산업의 중추적 역할을 담당한다. 때문에 NIPA는 국내 클라우드와 IoT 산업 활성화를 저해할 수 있는 핵심 보안 이슈들을 항상 강조해 왔다. 하지만 정작 내부 보안 관리에 소홀했다는 지적을 피할 수 없어 보인다.
손영준 정보화사회실천연합 대표는 "PaaS의 ID와 패스워드가 암호화되지 않고 전송되기 때문에 만약 유출된다면 핵심 소스코드가 유출되는 것이기 때문에 지적재산권을 모두 빼앗길 수 있는 결과가 나올 수 있다"며 "전문기관 조차도 개인정보를 소홀히 다루고 있는 것 같다"고 지적했다.
NIPA 측은 웹 로그인시에는 암호화가 이뤄지지 않았다는 점을 인정하면서도 소스코드 등의 유출 가능성에 대해서는 부인했다. 개발자가 개발을 위해 접속할 때는 웹으로 접속을 하는 것이 아니라 개발을 위한 터미널을 이용하는데, 이 때 암호화키가 작동한다는 설명이다.
NIPA 관계자는 이에 대해 "홈페이지 암호화는 11월 말까지 개선을 하기 위해 작업을 진행 하고 있다"며 "개발자가 프로그램 개발을 위해 로그인할 때는 시큐어셀(SSH) 통신 프로토콜이 반드시 필요하기 때문에 유출될 가능성은 낮다"고 말했다.