미국 주요 안보 기관인 교통안전청(TSA)의 보안에 구멍이 뚫렸다.
테크뉴스월드는 미 하원 정부개혁감독위원회(House Committee on Oversight and Government Reform)의 조사 결과 TSA가 운영하는 여행자 블랙리스트 관리 웹사이트가 심각한 개인정보 유출 위험성을 드러내 폐쇄당했다고 15일 전했다.
웹사이트는 개인정보를 입력할 때 SSL 암호화도 사용하지 않는 등 기본적인 보안 체계를 무시한 것으로 밝혀졌다. 그나마 SSL이 사용된 페이지 역시 인증 기간이 끝났음에도 구축 업체가 허위로 승인해 운영한 것으로 드러났다.
여행 금지자 명단에 오른 사람들이 구제를 받기 위해 웹사이트에서 입력한 개인정보 수천 건이 암호화 없이 보관돼 해커가 마음만 먹으면 언제든지 유출할 수 있었던 것이다.
특히 TSA는 웹사이트가 운영되는 4개월 동안 보안 문제를 발견하지 못하다가 인디애나 대학의 석사과정 학생이 자신의 블로그에 문제점을 지적한 후에야 조사에 나서는 등 보안 불감증도 여실히 드러냈다.
TSA는 위원회의 지적을 받은 후 즉각 사이트 내 정보를 국토안전부(DHS) 관할 웹사이트로 옮기고 정보를 입력한 사람들에게 유출 위험성을 알리는 등 조치를 취했지만 상황은 좋지 않다. 프로젝트를 관리한 TSA 직원이 구축업체인 디사인 웹서비스에서 일한 경험이 있는 것으로 밝혀졌기 때문이다.
해당 업체는 4만8816달러 상당의 이번 프로젝트를 수의계약으로 따냈다. 특히 이 업체는 그동안 TSA나 DHS로부터 50만달러(4억6000만원) 상당의 수의계약을 따냈으며 지금도 주요 TSA 웹사이트를 운영하고 있는 것으로 알려졌다.
보안에 구멍이 뚫렸음에도 TSA는 해당 직원을 징계하지도 않고 구축 업체에 대한 법률적 제재도 취하지 않아 논란을 가중시키고 있다. 이번 사건이 단순한 개인정보 유출 문제에서 그치지 않고 TSA 존립 자체를 흔들 수도 있는 파괴력을 지닌 이유다.
TSA의 보안 불감증은 이번이 처음은 아니다. TSA는 지난해 자사 직원 10만여명의 이름과 사회보장번호, 급여 정보가 담긴 하드디스크를 잃어버렸다. LA공항에서 진행한 테스트에서는 모의 폭탄의 무려 75%를 적발하지 못하기도 했다.
정진영기자@전자신문, jychung@etnews.co.kr