의원실의 국정감사자료
[손숙미의원실-20110921][복지위]건의사항 올렸더니, 개인정보 털려?!
의원실
2011-09-21 08:56:02
40
40
건의사항 올렸더니, 개인정보 털려?!
모의해킹에 허술한 심평원 보안벽 뚫렸다 !!
2011년 상반기 모의해킹 점검 결과, 웹사이트 취약점 드러나!
고객센터 게시판 타인글 열람에 수정까지, 개인 연락처, 주소, 이메일까지 다 털려!
최근자료 제외한 이전 자료는 무조건 폐기! 기록조차 없어!
1. 모의해킹 시도 결과, 웹사이트 곳곳서 취약점 발견!
최근 현대캐피탈 해킹사건과 농협 전산마비 사태가 잇따라 일어나면서 많은 국민들이 피해를 입었음. 이에 금융권 뿐만 아니라 개인정보를 취급하는 전 기관의 정보보안에 적신호가 켜진 상태임.
한나라당 손숙미의원(보건복지위/여성가족위)이 건강보험심사평가원으로부터 제출받은 자료에 따르면, 상병정보, 진료기록 등 개개인의 주요 의료정보를 관리하는 심평원조차 전문적인 컴퓨터 범죄에는 취약한 것으로 드러났음.
심평원은 매년 정기적으로 외부 보안전문기관에 의뢰해 OWASP (Open Web Application Security Project)에서 지정한 10대 웹 어플리케이션 취약점과 국정원에서 지정한 8대 취약점을 이용한 공격을 병행하여 정보보호 수준을 점검하고 있음.
2011년 상반기 모의해킹 결과보고서를 분석한 결과, 일부 웹사이트에서 취약점이 발견 된 것으로 드러났음
2. 건의사항 올렸더니, 오히려 개인 신상 털려!
세부내용을 살펴보면, 고객센터 건의게시판에 업무상의 불편사항 및 문의 내용의 글을 올린 H약국의 경우, 글 작성자의 이름 및 휴대전화 번호, 주소, 이메일 주소 등 개인 신상이 그대로 노출되었음.
타인의 글을 열람할 수 없도록 되어 있는 Q&A 게시판의 경우, URL에 특정 값을 입력하자, 타인이 작성한 글을 열람은 물론 수정까지 가능한 것으로 드러났음.
고객센터 건의게시판에 사용자 확인 없이 누구나 JSP(그림파일)을 업로드할 수 있도록 되어 있어, 의도적으로 악성바이러스를 업로드할 경우 무방비로 노출될 가능성이 있는 것으로 드러났음.
3. 최근자료 갱신 후 이전 자료 모두 폐기?
모의 해킹으로 발견 된 취약점은 모두 조치완료 된 것으로 보고하고 있으나, 문제는 최근 자료로 갱신 후 이전 데이터는 모두 폐기하고 있음.
따라서 매년 어떤 문제가 반복적으로 지적되는지, 특히 어떤 부분이 취약한지에 대한 자료분석이 전혀 관리되지 않고 있는 실정임.
4. 정책제언
이에 손숙미의원은 “심평원은 매년 6억건에 달하는 어마어마한 양의 국민 개인정보를 다루고 있다”며, “진료기록과 상병일지 등 개인의 병력사항은 민감한 자료인만큼, 불필요한 데이터들은 폐기하더라도 연도별 취약점 분석을 통해 모의 해킹에도 끄떡없을 만큼의 철저한 보안시스템 구축이 필요하다”고 지적했음.
모의해킹에 허술한 심평원 보안벽 뚫렸다 !!
2011년 상반기 모의해킹 점검 결과, 웹사이트 취약점 드러나!
고객센터 게시판 타인글 열람에 수정까지, 개인 연락처, 주소, 이메일까지 다 털려!
최근자료 제외한 이전 자료는 무조건 폐기! 기록조차 없어!
1. 모의해킹 시도 결과, 웹사이트 곳곳서 취약점 발견!
최근 현대캐피탈 해킹사건과 농협 전산마비 사태가 잇따라 일어나면서 많은 국민들이 피해를 입었음. 이에 금융권 뿐만 아니라 개인정보를 취급하는 전 기관의 정보보안에 적신호가 켜진 상태임.
한나라당 손숙미의원(보건복지위/여성가족위)이 건강보험심사평가원으로부터 제출받은 자료에 따르면, 상병정보, 진료기록 등 개개인의 주요 의료정보를 관리하는 심평원조차 전문적인 컴퓨터 범죄에는 취약한 것으로 드러났음.
심평원은 매년 정기적으로 외부 보안전문기관에 의뢰해 OWASP (Open Web Application Security Project)에서 지정한 10대 웹 어플리케이션 취약점과 국정원에서 지정한 8대 취약점을 이용한 공격을 병행하여 정보보호 수준을 점검하고 있음.
2011년 상반기 모의해킹 결과보고서를 분석한 결과, 일부 웹사이트에서 취약점이 발견 된 것으로 드러났음
2. 건의사항 올렸더니, 오히려 개인 신상 털려!
세부내용을 살펴보면, 고객센터 건의게시판에 업무상의 불편사항 및 문의 내용의 글을 올린 H약국의 경우, 글 작성자의 이름 및 휴대전화 번호, 주소, 이메일 주소 등 개인 신상이 그대로 노출되었음.
타인의 글을 열람할 수 없도록 되어 있는 Q&A 게시판의 경우, URL에 특정 값을 입력하자, 타인이 작성한 글을 열람은 물론 수정까지 가능한 것으로 드러났음.
고객센터 건의게시판에 사용자 확인 없이 누구나 JSP(그림파일)을 업로드할 수 있도록 되어 있어, 의도적으로 악성바이러스를 업로드할 경우 무방비로 노출될 가능성이 있는 것으로 드러났음.
3. 최근자료 갱신 후 이전 자료 모두 폐기?
모의 해킹으로 발견 된 취약점은 모두 조치완료 된 것으로 보고하고 있으나, 문제는 최근 자료로 갱신 후 이전 데이터는 모두 폐기하고 있음.
따라서 매년 어떤 문제가 반복적으로 지적되는지, 특히 어떤 부분이 취약한지에 대한 자료분석이 전혀 관리되지 않고 있는 실정임.
4. 정책제언
이에 손숙미의원은 “심평원은 매년 6억건에 달하는 어마어마한 양의 국민 개인정보를 다루고 있다”며, “진료기록과 상병일지 등 개인의 병력사항은 민감한 자료인만큼, 불필요한 데이터들은 폐기하더라도 연도별 취약점 분석을 통해 모의 해킹에도 끄떡없을 만큼의 철저한 보안시스템 구축이 필요하다”고 지적했음.