"스마트국민제보" 웹 사이트 로그인 정책 변경

경찰청에서 운영하는 서비스 중 "스마트국민제보"라는 서비스가 있습니다. 수배자 목격 신고, 교통위반 신고, 여성폭력 범죄 신고 등 비긴급 신고를 접수하는 서비스입니다. 저는 주로 교통위반 신고를 하기 위해 사용하고 있습니다.

그런데 PC에서 "스마트국민제보" 사이트를 이용할 때 한 가지 불편한 점이 있습니다. 바로 브라우저에 저장된 비밀번호를 사용할 수 없도록 하는 로그인 정책입니다.

"비밀번호는 키보드 또는 가상패드로 직접 입력해 주셔야 합니다"라고 안내되어 있습니다.

실제로 브라우저에 저장된 비밀번호나 복사/붙여넣기 하는 비밀번호로는 로그인이 되지 않습니다. 처음에는 잘못된 비밀번호가 저장되어 있나 하고 여러 번 확인도 했습니다. 하지만 정말로 키보드로 직접 타이핑을 해서 비밀번호를 입력해야 로그인이 되는 것이었습니다.

이런 로그인 정책은 단순히 불편한 데에서 그치는 게 아니라, 보안 측면의 위험성도 가지고 있습니다. 저는 사이트마다 비밀번호를 모두 다르게 사용합니다. 나름의 규칙을 가지고 비밀번호를 정하기는 하지만 모든 사이트의 비밀번호를 외우는 건 사실상 불가능합니다. 그래서 브라우저의 비밀번호 저장 기능에 크게 의존하는 편입니다. 스마트국민제보 사이트와 같이 브라우저에 저장된 비밀번호를 사용할 수 없도록 한다면, 결국 모든 사이트의 비밀번호를 같게 하거나 브라우저가 아닌 별도의 매체(카카오톡이나 메모장 등)에 비밀번호를 기록해 놓아야 합니다. 매번 비밀번호 찾기를 할 수는 없으니까요.

스마트국민제보 사이트 정도야 계정이 유출되어도 큰 문제가 생기지는 않습니다. (지금까지 했던 신고 기록이 유출되면 쫓아올 사람이 여럿이긴 하네요…) 하지만 국가기관에서 운영하는 서비스에서 좋지 않은 보안 습관을 민든다는 게 문제라고 생각합니다. 비밀번호를 어딘가에 평문으로 기록하는 습관, 키보드 보안 프로그램이랍시고 확인되지 않은 프로그램을 무분별하게 PC에 설치하는 습관. 이런 습관을 들이지 않았다면 보이스 피싱 범죄 피해가 조금은 줄지 않았을까요.

이런 문제점을 해결하기 위해 브라우저에 비밀번호를 저장합니다. 일견 안전하지 않아보이지만, 생각보다 브라우저는 강력한 보안을 제공합니다. OS 수준에서 보호되는 저장소에 비밀번호를 저장하고, 커널 수준의 키 입력 탈취 공격에서도 자유롭습니다. 정상 사이트와 유사한 디자인을 가지는 피싱 사이트에서 자동 로그인이 되지 않기 때문에, 피싱 사이트를 걸러낼 수 있는 기회를 한 번 더 제공하기도 합니다.

이런 이유로 경찰청에 로그인 정책 변경을 요청하기로 했습니다. 국민신문고 서비스를 이용하면 손쉽게 국가 기관에 다양한 민원을 제기할 수 있습니다.

모바일 앱도 있는데, 국가기관에서 운영하는 서비스 치고는 사용성이 괜찮습니다. (…)

민원 내용은 간단했습니다. 이런 로그인 정책이 보안상의 위험성을 야기할 수 있다는 사실은 많이 알려져 있기 때문에, 짧게 정책 변경만을 요청하였습니다.

브라우저에 저장된 비밀번호를 사용할 수 없도록 하는 로그인 정책을 폐기하여 주시기 바랍니다.

민원은 경찰청 정보화장비정책관 정보통신기술담당관에서 접수하여 처리하였습니다. 접수된 지 딱 일주일만에 답변이 왔습니다.

안돼!

무슨 말일까요… 어쨌든 안된다는 것 같습니다. 이유인 즉슨, 비밀번호 암호화가 불가능하기 때문이라고 합니다.

우선, 왜 암호화가 불가능하다는 걸까요? 암호화가 필요하다면, 로그인 버튼을 누르는 시점에 폼에 입력된 값을 암호화해서 전송하면 됩니다. 굳이 키보드로 직접 입력하는 것만 암호화가 된다고 하는 것으로 보아서 아마 키 입력 이벤트를 받아 바로 암호화된 비밀번호를 폼에 기록하는 형태가 아닌가 싶습니다만, 굳이 그렇게 하는 이유를 모르겠습니다.

제가 보안 전문가는 아니라 잘은 모르겠지만, 클라이언트 단에서 추가적인 암호화가 필요한지도 의문입니다. 어차피 HTTPS 기반의 보안 통신을 사용한다면 네트워크 트래픽은 모두 암호화됩니다. 그렇다면 클라이언트 암호화가 필요한 이유는 브라우저에 입력된 암호를 탈취하는 공격을 걱정하기 때문인데, 이걸 걱정할 수준이면 이미 컴퓨터는 공격자 손에 있다고 해도 되는 게 아닐까요.

이런 저런 의문을 가지고 다시 민원을 신청했습니다. 국민신문고에는 ‘이전 민원’을 지정함으로써 이전 답변 결과에 대해 다시 민원을 지정할 수 있는 기능이 있습니다.

우리나라 국가 기관의 보안 정책에 대해 평소 갖고 있던 불만을 가득 담아.

역시 같은 부서의 같은 담당자가 접수를 했습니다. 보통 한 번 안 된다는 답변이 오면 같은 담당자가 입장을 번복하는 일은 잘 없기 때문에, 큰 기대를 하지는 않았습니다. 다만 어떤 논리로 거부를 하는지 보고 싶었던 거죠.

처리 중에 민원 처리기간이 7일 늘어났습니다. 정확한 답변을 위해서라고 합니다.

이번에는 17일만에 답변이 왔습니다. 그런데 웬걸요, 생각지도 않은 긍정적인 답변입니다.

군더더기 없이, 민원을 수용하겠다는 답변입니다.

며칠 후에 스마트국민제보 웹 사이트에서 브라우저에 저장된 비밀번호로 로그인을 시도하니 실제로 정상적으로 로그인이 되는 것을 확인했습니다. 반영할 계획이라고 답하고도 다음 시스템 업데이트까지 반영하지 않는 경우도 많은데, 바로 반영된 것도 인상적이네요.

다만, 아직 로그인 폼 하단에 “복사 & 붙여넣기 혹은 브라우저에 저장된 비밀번호로는 로그인이 되지 않습니다”라는 안내 문구는 사라지지 않았습니다. 놓친 것인지, 수정 예정인지는 모르겠습니다.

국민신문고로 많은 민원을 제기해 보았지만, 민원이 이렇게 받아들여진 건 거의 처음인 것 같아 기분이 묘하네요. 공무원 분들, 힘내시길! 그리고 부디 보안 정책좀 현대화해 봅시다!