회원 개인정보 보안강화 명목으로 회원 비밀번호 OOOO으로 통일시켜
회원 아이디와 생년월일만 알면 개인정보 탈취 가능...보안강화 아닌 보안악화

[보안뉴스 원병철 기자] 서울특별시 산하 서울시여성능력개발원에서 랜섬웨어와 사이버공격에 대비한다는 명목으로 개인정보 보안강화 작업을 하면서 회원 비밀번호를 초기화하고 이를 회원들에게 공지하는 황당한 사건이 벌어졌다. 심지어 초기화된 비밀번호는 개인별로 부여하지 않고, 숫자로 만들어진 가장 쉬운 4자리 비밀번호 OOOO을 부여해 아이디와 생년월일만 알면 개인정보를 탈취할 수 있는 우려가 커졌다.


▲ 서울시여성능력개발원에서 보낸 비밀번호 변경 이메일[자료=보안뉴스]

문제는 최근 발생한 밴드나 CJ ONE 등의 사건처럼 계정도용이 빈번한 상황에서 상대의 아이디와 생년월일만 알고 있다면 너무나 쉽게 로그인해 비밀번호를 바꿀 수 있는 것은 물론 개인정보까지 탈취할 수 있다는 점이다. 개인정보 보안강화를 위해 시작한 작업이 거꾸로 개인정보를 위협하게 된 상황이 온 셈이다.

대부분의 사람들이 한 개의 아이디를 사용하기 때문에 이메일 주소 등을 수집하면 아이디를 쉽게 얻을 수 있고, 카카오톡이나 페이스북 등 SNS를 조금만 탐색하면 생일도 쉽게 수집할 수 있어 이 두 가지만 가지고도 충분히 계정을 탈취할 수 있다.


▲ 서울시여성능력개발원 로그인 화면. 임시 비밀번호 OOOO을 누르면
생년월일과 비밀번호를 누른 후 비밀번호를 변경하라고 나온다[이미지=홈페이지 캡처]

서울시여성능력개발원은 7일 오전 비밀번호를 변경하라는 제목으로 회원들에게 이메일을 보냈고, 실제로 로그인을 해보면 기존 비밀번호가 아닌 OOOO을 눌러야 로그인이 가능했다. 게다가 비밀번호 변경을 위한 본인확인 조차 생년월일 8자리와 비밀번호 OOOO만으로 하는 등 허술하기 짝이 없다. 회원인 기자 가운데 한명도 실제 해당 이메일을 받았다.

최근 워너크라이 랜섬웨어 등 연이은 보안사고로 보안을 강화하고 개인정보를 지키겠다는 서울시여성능력개발원의 취지는 이해가 가지만, 수많은 서울시민들의 개인정보를 관리하는 정부산하기관에서 이렇게 보안상 취약한 방법을 사용했다는 사실은 납득하기 어렵다.

이번 비밀번호 변경 이메일을 보냈던 여성능력개발원 측은 비밀번호 변경은 여성능력개발원을 포함한 전 여성인력개발기관 회원들의 공통사항이라고 밝혔다. 다만 이번 비밀번호 변경은 서울시가 아닌 여성능력개발원에서 자체적으로 진행했다고 전했다.

한편, 메일에서 언급된 서울시여성인력개발기관은 여성 일자리 창출을 목표로 취업상담, 직업교육 등 다양한 방면에서 여성 취업을 지원하고자 설립된 서울특별시의 여성일자리 지원사업 관련 기관의 통칭이다. 여성능력개발원 1개소를 포함해 여성발전센터 5개소, 여성인력개발센터 17개소가 포함됐으며, 취업과 창업정보, 교육프로그램 등 다양한 서비스를 제공하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>