의원실의 국정감사자료
[정필모의원실-20201013]KISA, 코로나 앱 보안취약성 신고 받고도 2달간 방치
의원실
2020-10-18 14:45:21
45
45
KISA, 코로나 앱 보안취약성 신고 받고도 2달간 방치
제보접수 무시될 동안 과기부는 “개인정보 안전 관리” 홍보,
뉴욕타임즈 취재 과정에서 뒤늦게 알아, 부랴부랴 점검나서
정필모 의원 “정부의 코로나19 방역 대외신뢰 실추사례”
한국인터넷진흥원(KISA)이 코로나 자가격리앱의 개인정보유출 위험성을 신고받고 이를 2달 가까이 방치했던 것으로 드러났다.
국회 과학기술정보방송통신위원회 정필모 의원(더불어민주당)이 한국인터넷진흥원으로부터 제출받은 ‘자가격리앱 보안성 우려 신고조치 경과’자료를 검토해 이 같은 사실을 밝혔다.
코로나 자가격리앱은 행정안전부가 민간업체와 함께 공동개발해 감염병 확산을 막기 위해 지난 3월 제작됐고, 4월부터 사용됐다. 한국인터넷진흥원은 자가격리앱의 보안 취약성 제보 메일을 6월 1일에 받았다. 한국인터넷진흥원이 메일을 확인한 것은 7월 24일이었다. 무려 54일이나 방치된 것이다.
□ 보안취약 메일은 잠자고 있는데, 과기부는 “개인정보 안전” 홍보
한국인터넷진흥원이 제보 메일을 2달 가까이 방치하는 사이 과기부는 전 세계 정부와 언론을 대상으로 “자가격리앱에 제공된 개인정보가 안전하게 관리되고 있다”고 설명했다.(7월 1일, 8차 Webinar 영상회의 등)
한국인터넷진흥원에 메일을 보낸 최초제보자는 제보내용이 확인조차 되지 않자 뉴욕타임즈에 제보했다. 뉴욕타임즈는 7월 21일 관련 내용을 보도했다.
뉴욕타임즈의 취재가 시작되고서야 정부부처가 내용파악에 나서는 어이없는 일이 발생했다. 앱을 개발하고 보급한 행정안전부가 내용을 파악하고 그제야 한국인터넷진흥원에 보안성 문제 검토를 요구한 것이다.
한국인터넷진흥원도 행안부의 협조를 받고서야 자신들에게 최초 제보 메일이 왔다는 것을 알아차렸다. 메일을 보낸 지 54일이 경과된 7월 24일이었다.
뉴욕타임즈는 지난 7월 21일 보도를 통해 “한국 관료들은 프레테릭 레텐슈타인과 뉴욕타임즈가 알린 이후에 보안실책을 알게되었다”고 지적했다. 대한민국 정부가 국제적 망신을 당한 것이다.
□ KISA “공식 신고 채널이 아니라 몰라” 궁색한 변명
한국인터넷진흥원은 이에 대해 ‘공식 신고 채널이 아닌 메일로 들어와서 몰랐다’라고 답변한 것으로 확인됐다. 한국인터넷진흥원이 공공부문 정보보호에 대한 인식을 드러내는 부분이다.
정필모 의원은 “이번 사례는 한국인터넷진흥원의 업무태만으로 인해, 그간 정부가 코로나19 방역에 최선을 다하며 쌓아온 대외적 신뢰가 실추된 사례”라고 말하며, “자가격리앱 개발 및 운영과정에서 개인정보 유출문제를 확인하지 못한 점을 점검하고, 정부기관들이 제보나 민원에 대해 더욱 민감하게 반응하고 점검하는 자세를 가져야 한다”고 강조했다.
제보접수 무시될 동안 과기부는 “개인정보 안전 관리” 홍보,
뉴욕타임즈 취재 과정에서 뒤늦게 알아, 부랴부랴 점검나서
정필모 의원 “정부의 코로나19 방역 대외신뢰 실추사례”
한국인터넷진흥원(KISA)이 코로나 자가격리앱의 개인정보유출 위험성을 신고받고 이를 2달 가까이 방치했던 것으로 드러났다.
국회 과학기술정보방송통신위원회 정필모 의원(더불어민주당)이 한국인터넷진흥원으로부터 제출받은 ‘자가격리앱 보안성 우려 신고조치 경과’자료를 검토해 이 같은 사실을 밝혔다.
코로나 자가격리앱은 행정안전부가 민간업체와 함께 공동개발해 감염병 확산을 막기 위해 지난 3월 제작됐고, 4월부터 사용됐다. 한국인터넷진흥원은 자가격리앱의 보안 취약성 제보 메일을 6월 1일에 받았다. 한국인터넷진흥원이 메일을 확인한 것은 7월 24일이었다. 무려 54일이나 방치된 것이다.
□ 보안취약 메일은 잠자고 있는데, 과기부는 “개인정보 안전” 홍보
한국인터넷진흥원이 제보 메일을 2달 가까이 방치하는 사이 과기부는 전 세계 정부와 언론을 대상으로 “자가격리앱에 제공된 개인정보가 안전하게 관리되고 있다”고 설명했다.(7월 1일, 8차 Webinar 영상회의 등)
한국인터넷진흥원에 메일을 보낸 최초제보자는 제보내용이 확인조차 되지 않자 뉴욕타임즈에 제보했다. 뉴욕타임즈는 7월 21일 관련 내용을 보도했다.
뉴욕타임즈의 취재가 시작되고서야 정부부처가 내용파악에 나서는 어이없는 일이 발생했다. 앱을 개발하고 보급한 행정안전부가 내용을 파악하고 그제야 한국인터넷진흥원에 보안성 문제 검토를 요구한 것이다.
한국인터넷진흥원도 행안부의 협조를 받고서야 자신들에게 최초 제보 메일이 왔다는 것을 알아차렸다. 메일을 보낸 지 54일이 경과된 7월 24일이었다.
뉴욕타임즈는 지난 7월 21일 보도를 통해 “한국 관료들은 프레테릭 레텐슈타인과 뉴욕타임즈가 알린 이후에 보안실책을 알게되었다”고 지적했다. 대한민국 정부가 국제적 망신을 당한 것이다.
□ KISA “공식 신고 채널이 아니라 몰라” 궁색한 변명
한국인터넷진흥원은 이에 대해 ‘공식 신고 채널이 아닌 메일로 들어와서 몰랐다’라고 답변한 것으로 확인됐다. 한국인터넷진흥원이 공공부문 정보보호에 대한 인식을 드러내는 부분이다.
정필모 의원은 “이번 사례는 한국인터넷진흥원의 업무태만으로 인해, 그간 정부가 코로나19 방역에 최선을 다하며 쌓아온 대외적 신뢰가 실추된 사례”라고 말하며, “자가격리앱 개발 및 운영과정에서 개인정보 유출문제를 확인하지 못한 점을 점검하고, 정부기관들이 제보나 민원에 대해 더욱 민감하게 반응하고 점검하는 자세를 가져야 한다”고 강조했다.