본문 바로가기
업계동정/기자수첩

국교부, 자동차 관리사업자포털 뒷문 활짝 열려...

by 교통환경 스토리 2014. 4. 9.

 

국토교통부에서 야심차게 준비한 자동차민원 관리사업자포털(이하 정비이력 전송 서버)의 뒷문이 봄 꽃 피듯 활짝 열렸다. 이는 국교부 자신들이 만든 법을 스스로 부정하는 꼴이라서 모양이 영 볼썽사납다.
“정부는 국내 등록 자동차에 대해 신차부터 폐차까지 이력을 수집에 다양한 방식으로 활용하기로 하고 정비이력 수집을 법으로 강제했다. 그런데 이 국가 사이트가 웹 취약성을 무시하고 운영되다 뚫렸다. 이를 모르고 정비이력을 전송한 사업자 정보와 5천만 국민의 개인정보가 고스라니 해커의 손에 넘어갔다.

 해커가 이용한 방법은 웹 개발 초보라도 할 수 있는 아주 쉬운 방법이었다.

웹 취약성을 악용해 변조사이트를 만들고 변조사이트에 정보를 입력하게 만든 것.” 가상 뉴스다. 하지만 국교부의 행태를 보면 그냥 웃고 넘길 일이 아니다.

자동차관리법시행규칙 116조 3항에 따르면 "자동차관리사업자는 제1항의 사항을 전송하려는 경우에는 전산정보처리조직에 「자동차등록령」 제6조의2에 따른 사용자 등록을 하고 전송하여야 한다. 이 경우 법 제67조에 따른 조합 등 또는 법 제68조에 따른 연합회를 통하여 전송할 수 있다"고 규정하고 있다.

전송 주체를 자동차 관리사업자와 조합, 또는 연합회로 규정하고 있다.
자동차 관리사업자는 국토부에서 지정한 사이트(biz.ecar.go.kr)에 공인인증서를 통한 사용자 등록을 한 후 그 곳에서 정비이력을 전송할 수 있다. 이 경우가 아닌 경우에는 조합이나 연합회에서 지정한 방법으로 국토부 정비이력 서버에 정비한 내역을 전송해야 한다.
그러나 현실은 항상 정부정책에 반하여 법 취약성을 이용해 개인의 이득을 취하는 사람이 있다는 것. 국교부는 이에 대해 정확하게 파악도 하려 노력하지 않고, 쉬쉬하거나 대충 관계단체를 불러 서둘러 봉합하려는 태도를 취하고 있다.
올 1월 전 국민을 분노에 떨게 했던 국민, 롯데, 농협카드 해킹 사건과 얼마 전 MBC의 취재에도 불구하고 국교부는 자신들이 구축한 웹사이트의 취약성을 보완하려고 하지 않고 문제를 제기한 측을 이상하게 몰아가며 전혀 문제가 없다는 태도를 취하고 있는 것이다.
현재 국교부 사이트는 국교부에서 인정하지 않는 방법으로 정비이력을 전송할 수 있다.

웹 개발에 대해 조금만 알면 다 행할 수 있는 것이다.

사용자로그인 후 국교부 사이트에서 항목을 직접 찾아 입력하여야 하나 웹 보안 취약점을 이용해 국교부에서 정한 방식이 아닌 다른 방식으로 정보를 전송할 수 있는 것.
이런 방식을 인정할 경우 국교부는 자동차관리법에서 규정하고 있는 조합 등 연합회가 아닌 자동차관리사업자가 서버 대 서버 전송을 허락하는 꼴이다.

국교부로서는 웹 취약성을 인정할 경우 쏟아질 비난이 두려운 것이고 웹 취약성을 이용한 전송방법을 묵인할 경우 국교부 스스로 위법을 인정한 셈이다.
이 방식은 단체에도 심각한 타격을 입힐 것으로 예상된다.

현재 자동차정비사업자단체(검사정비연합회, 전문정비연합회)는 국교부에서 규정한 항목을 전송하기 위해 각 단체의 역량에 맞게 서버를 구축했다.

각 단체가 막대한 자금을 투자해 국가정책에 적극협력 하기로 결의하고 그에 대한 작업을 진행한 것이다.

그런데 국교부에서 법에서 정한 방식이 아닌 방식을 인정할 경우 국교부를 믿고 정책에 적극 협력한 단체는 정부로부터 뒤통수를 맞은 꼴이 되고 말았다.

국교부가 자신들의 정책을 적극 협조한 단체를 외면하고 행정편의적인 발상으로 웹 취약성을 악용한 방식을 인정할 경우 앞으로 어떤 단체가 국교부를 믿고 일할 수 있는가? 한 단체 관계자는 “완전 허탈하다.

국교부만 철썩 같이 믿고 막대한 자금을 투자해 서버를 구축했다. 이를 통해 조합원의 단결을 도모하고 정부정책을 적극 협조하려 했다.

그런데 이 방법을 허용한다면 어떤 단체가 국교부의 정책을 믿고 적극 협조 하겠는가”라며 강하게 항변했다.
한 프로그램 업체는 이에 대해 “좀 더 쉬운 방법이 있는데 누가 돈 내며 연합회나 단체의 말을 듣겠는가. 국교부에서 허락한다면 우리로서는 땡큐”라고 했다.
사실 가장 큰 문제는 웹 취약성을 이용한 변조사이트 구축이다.

국교부에서 지금은 개인정보를 수집하지 않는다고 하지만 개발문서에 보면 개인정보가 전송 필수 항목이다.
국가사이트가 웹 취약성 알고도 묵인하거나 이를 적극 허용한다는 것은 일반적인 상식으로 쉽게 이해할 수 없는 부분이다.
쟁점은 이렇다.

▶웹 취약성을 방치할 경우 변조사이트를 통한 정보 유출 가능성 ▶국가 사이트의 웹 취약성을 알고도 국교부는 그냥 넘어 가는가 ▶법에서 정한 방식이 아닌 탈법적인 방식을 사용할 경우 생각하지 못한 방식이라고 인정해야 하는가 ▶이러한 방식을 인정할 경우 단체는 어떻게 되는가 ▶사업자는 더 쉬운 방식이 있는데 단체에 남아 있겠는가 ▶누가 국가시책에 적극 협력하겠는가. 국교부의 절적한 대책이 필요한 시점이다.

/ 이동기 기자