'개인정보 수집' 홈페이지 97% 보안 '허점'

KISA, 112개 서비스 점검…IoT기기는 80개 모두 취약

이용자로부터 개인정보를 수집하는 홈페이지와 O2O(온·오프라인 연계), 사물인터넷(IoT) 기기 가운데 97%에서 보안 취약점이 발견됐다.

20일 국회 과학기술정보통신방송위원회 변재일 의원(더불어민주당)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 KISA는 지난해 홈페이지 13개와 O2O 19개, 시중에 유통되고 있는 IoT기기 80종 등 112개 '다중이용 온라인 서비스'를 대상으로 이용자 보호를 위한 보안성 항목을 점검한 결과 이같이 나타났다.

점검 대상 홈페이지는 KB부동산, 네이버부동산, 다음부동산, 야놀자, 호텔패스 등이다. O2O는 배달의민족, 여기어때, 직방, 카카오택시 등이다. IoT기기는 IP카메라, 공유기, 디지털 비디오 레코더(DVR), 네트워크 결합 스토리지(NAS) 등이 대상이다.

점검 결과 대상의 97.3%인 109개에서 보안 취약점이 발견됐다.

홈페이지는 84.6%인 11개에서 중요 데이터 평문전송, 취약한 인증 및 세션 관리 미흡 등 45가지 취약점이 발견됐다. 020는 94.7%인 18개에서 송수신 정보보호, 메모리 보호 미흡 등 67가지 취약점이 나왔다.

IoT기기는 점검대상 80개 모두에서 취약점이 발견됐다. 취약점은 전송 암호화, 네트워크 서비스, 개인정보보호 미흡 등 404개에 달했다.

KISA가 취약점이 발견된 홈페이지와 020 운영 업체에 개선 필요사항을 안내했지만 32개 업체의 절반인 16개 업체가 보안 개선 조치를 하지 않았다. IoT기기의 취약점 발견 이후에도 개선 여부에 대한 점검이 이뤄지지 않았다. IoT기기에서 보안상 취약점이 발견되더라도 제조사가 보완 조치를 할 의무가 없기 때문이다.

변재일 의원은 "많은 국민이 이용하고 중요한 개인정보를 수집, 이용하는 서비스의 보안이 취약하면 해킹뿐만 아니라 개인정보 유출, 사생활 침해 등 2차 피해로 이어지는 만큼 보안 취약점을 시급히 개선해야 한다"고 지적했다.