공공시스템 '모의 해킹' 해보니…"수천만 명 주민번호 탈취 가능"

다수 국민의 개인정보를 보유한 정부 공공시스템의 보안에 취약점이 있다는 감사 결과가 나왔습니다.

감사원은 오늘(27일) 이 같은 내용을 골자로 하는 개인정보 보호 및 관리 실태 감사 결과를 공개했습니다.

감사원에 따르면 2021∼2024년 공공부문의 개인정보 유출은 95.5%가 외부 해킹에 의해 발생하고 내부 직원의 고의적 유출은 0.1%에 불과했습니다.

하지만 개인정보보호위원회는 2022년 공공부문 개인정보 유출 방지 대책을 수립하면서도 외부 해킹에 대한 대책은 충분히 세우지 않았다고 감사원은 지적했습니다.

감사원은 이에 따라 취약점 유무를 확인하고자 공공부문에서 근무하는 화이트 해커 11명을 감사에 참여시켜 개인정보위 소관 123개 공공시스템 중 개인정보 보유량이 많은 7개 시스템을 선정해 모의 해킹을 실시했습니다.

그 결과 7개 시스템 모두에서 결과적으로 개인정보 탈취가 가능했습니다.

한 시스템은 접속에 필요한 중요 정보가 암호화되지 않아 해커가 관리자 권한을 획득할 경우 13만 명의 주민등록번호 탈취가 가능했습니다.

다른 시스템은 고객의 조회 정보를 조작하는 수법으로 해커가 3천 명의 주민번호를 확인할 수 있었습니다.

또 제한 없는 반복적 시도를 통해 5천만 명의 주민번호 조회가 가능하거나 비정상적 조회를 차단하지 않아 1천만 명의 회원 정보가 20분 내 탈취 가능한 경우도 있었습니다.

감사원은 다만 개인정보 탈취 방법이 확산할 우려 등을 고려해 구체적 감사 내용은 공개하지 않았습니다.

아울러 감사 기간 7개 시스템을 운영하는 기관에 관련 사항을 전달해 이미 보완이 완료됐다고 감사원은 설명했습니다.

감사원은 이와 별개로 인사정보가 연계된 경기도교육청 교육행정정보시스템, 4대사회보험정보연계시스템, 사회보장정보시스템, 지역보건의료정보시스템 등에서 퇴직한 직원 등에 대한 접근 권한 말소를 누락하는 등 관리에 허점을 노출한 사례도 확인했습니다.

감사원은 개인정보 유출 대응 조치 전반에 대해서도 개선을 주문했습니다.

먼저 2021∼2025년 개인정보가 대량으로 유출된 320건 중 306건(96%)에서 평균 81일(최대 838일)간 정보가 인터넷에 노출됐을 가능성이 있다며 관련 기관의 미신고로 유출 여부를 제때 확인하지 못하는 문제가 발생했다고 지적했습니다.

감사원은 "해당 기관이 유출 여부를 확인하고 조사 결과를 제출하도록 하는 절차 마련에 개인정보위가 소극적이었다"며 개선 방안을 마련하라고 통보했습니다.

이와 함께 개인정보가 유출되더라도 스팸·보이스피싱 등 범죄에 활용되지 않도록 휴대전화 번호 암호화 등의 개선 방안을 마련하고, 다크웹에서 불법 유통되는 개인정보를 국민이 직접 확인하는 '털린 내 정보 찾기' 서비스의 품질도 제고하라고 개인정보위에 통보했습니다.