국민 개인 정보를 대량 보유한 7개 공공 시스템이 해킹에 대한 대응이 부실한 것으로 확인됐다. 어렵지 않은 방식으로 전 국민의 주민등록번호를 확인할 수 있는 시스템도 발견됐다.
27일 감사원에 따르면 공공 부문에서 근무하는 화이트 해커 11명이 123개 공공 시스템 중 개인 정보 보유량이 많은 7개 시스템을 선정해 모의 해킹을 실시한 결과 7개 모두에서 보안 취약점이 발견됐다. 7개 시스템 모두 권한이 부여되지 않은 타인의 정보를 해커가 마음만 먹으면 조회하는 것이 가능했다.
한 시스템에선 약 5000만명의 주민번호 등을 조회할 수 있었다. 사실상 전 국민 주민번호가 탈취될 수 있던 것이다. 또 다른 시스템에선 20분 이내에 1000만명의 회원 정보를 얻을 수 있었다. 시스템 접속에 필요한 중요 정보가 암호화되지 않아 해커가 관리자 권한을 획득하면 13만명의 주민번호를 탈취할 수 있는 공공시스템도 파악됐다. 모의 해킹을 시도한 7곳 모두 보안 취약점이 드러난 것이다.
감사원은 보안 취약점이 발견된 7개 공공 시스템 운영 기관장에게 이런 사실을 전달했으며, 각 기관의 시정은 완료됐다. 다만 감사원은 7개 공공 시스템이 어디인지, 어떤 방식으로 모의 해킹을 했는지는 공개하지 않기로 했다. 감사원 관계자는 "공개할 경우 해커들의 공격 대상이 될 수 있어 피해가 더 커질 수 있다"고 설명했다.
이번 감사에선 퇴직한 직원이 공공 시스템에 계속 접속할 수 있는 문제도 제기됐다. 경기교육청에서 퇴직한 계약직 교원 3000명은 접속 권한이 말소되지 않아 교육 행정 시스템에 계속 접속할 수 있었다. 개인정보위원회는 퇴직·전보 직원의 공공 시스템 접근 권한을 적기에 말소할 수 있도록 인사정보가 전산 연계되도록 하고 있는데, 이 절차가 누락된 것이다.
개인정보보호위가 운영하는 '털린 내 정보 찾기' 서비스의 사용이 미비하다는 점도 감사원은 지적했다. 2023년 기준으로 전체 인터넷 이용자 중 1.7%만 이 서비스에 방문한 것으로 나타났다. 또 개인 정보가 유출됐을 경우 2차 피해를 막기 위해 개인정보위가 해당 사이트에 아이디와 비밀번호를 초기화하도록 하는 등의 적극적인 조치를 해야 하지만, 개인정보위는 법적 근거가 없다며 대응에 소극적이라고 감사원은 설명했다.
Copyright ⓒ 아주경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
