정부가 ‘디지털 플랫폼 정부’를 표방하며 개인정보 안전 조치를 강화했다고 공언했으나, 실제로는 외부 해킹에 속수무책인 것으로 드러났다. 감사원이 화이트 해커를 동원해 주요 공공시스템을 모의해킹한 결과, 전 국민에 해당하는 5000만명의 주민등록번호가 조회 가능한 허점이 발견되는 등 보안 체계가 총체적 부실 상태인 것으로 확인됐다.

감사원은 27일 이 같은 내용을 담은 ‘개인정보 보호 및 관리실태’ 감사보고서를 공개했다. 이번 감사는 최근 대규모 개인정보 유출 사고가 빈번해짐에 따라 공공부문의 보안 실태를 점검하기 위해 진행됐다.

감사원은 화이트 해커 11명을 투입해 정부가 지정한 집중관리시스템(현 공공시스템) 중 개인정보 보유량이 많은 7개 시스템을 대상으로 모의해킹을 시도했다. 결과는 충격적이었다. 점검 대상 7개 시스템 모두 권한이 없는 제3자가 타인의 정보를 조회하거나 탈취할 수 있는 보안 취약점이 발견됐다.

한 시스템은 로그인에 필요한 중요 정보가 암호화되지 않은 채 전송되는 허점이 있었다. 해커가 이를 가로채 관리자 권한을 획득할 경우 해당 시스템에 등록된 13만명의 주민등록번호를 고스란히 빼낼 수 있는 상태였다.

입력값 검증 체계가 미비해 무제한 정보 조회가 가능한 사례도 적발됐다. 특정 시스템은 개인정보 조회 시 입력 횟수 제한이나 이상 징후 탐지 기능이 없어, 해커가 자동화 프로그램을 이용해 반복 시도할 경우 이론적으로 5000만명의 주민등록번호와 이름 등을 조회할 수 있는 것으로 나타났다. 또 다른 시스템은 비정상적인 외부 접근을 차단하지 않아 불과 20분 만에 1000만명의 회원 정보를 유출할 수 있었다.

이 같은 보안 공백은 정책의 ‘헛발질’에서 비롯됐다는 지적이다. 최근 공공부문 개인정보 유출 원인을 분석해보면 95.5%가 외부 해킹에 의한 것이며, 내부 직원의 고의 유출은 0.1%에 불과하다.

그러나 주무 부처인 개인정보보호위원회는 2022년 ‘공공부문 개인정보 유출 방지대책’을 수립하면서 ‘송파 세 모녀 살인사건’ 등 내부 유출 통제에만 집중했다. 정작 절대다수를 차지하는 외부 해킹 위협에 대한 보안 취약점 점검 대책은 사실상 공백 상태였다.

기본적인 접근권한 관리도 엉망이었다. 감사원이 4개 공공시스템을 표본 점검한 결과, 퇴직하거나 인사이동한 직원의 접근권한을 제때 말소하지 않은 사례가 다수 확인됐다. 교육행정시스템(나이스)의 경우 경기교육청에서 퇴직한 계약직 교원 3000명의 접속 권한이 그대로 살아있는 등 4개 시스템 모두에서 구멍이 뚫려 있었다.

다크웹 대응과 피해 구제 시스템도 실효성이 떨어졌다. 개인정보위와 한국인터넷진흥원(KISA)이 운영하는 ‘털린 내 정보 찾기’ 서비스는 유출된 아이디와 비밀번호 정보만 제공할 뿐, 어느 사이트에서 유출됐는지는 알려주지 않아 사용자가 실질적인 조치를 취하기 어려운 구조였다. 또한 KISA가 다크웹 탐지 대상으로 관리하는 웹사이트 주소 데이터베이스(DB)와 실제 현행화 조사를 하는 DB가 일치하지 않아 약 3만8000개 사이트가 점검 사각지대에 놓여 있었다.

감사원은 개인정보위 위원장에게 외부 해킹에 대비한 공공시스템 보안 취약점 점검 체계를 마련하고, 유출 사고 발생 시 국민이 실질적인 피해 예방 조치를 할 수 있도록 서비스를 개선하라고 통보했다. 아울러 해킹 취약점이 발견된 7개 시스템 운영 기관에는 즉각적인 시정 조치를 요구했다.

https://n.news.naver.com/article/029/0003007317?cds=news_media_pc&type=breakingnews