https://naver.me/FoXIJWa3

국내 최대 자원봉사 플랫폼인 행정안전부의 ‘1365 자원봉사포털’이 외부 공격을 받아 이용자 930명의 성명과 휴대전화 번호 등 개인정보가 유출됐다. 이 사이트는 과거 텔레그램 성착취물 유포방인 ‘박사방’ 일당이 일부 피해자들의 개인정보를 빼낸 사실이 확인돼 보안관리가 허술하다는 지적을 받았는데도 또 사고가 발생했다.

24일 행정안전부에 따르면 지난 19일 1365 자원봉사포털 시스템에 대한 외부의 비정상적인 접근 및 공격이 이뤄져 이용자 930명의 개인정보가 유출됐다.

이 중 426명은 성명·생년월일·휴대전화번호·연계정보(CI)가, 469명은 성명·생년월일·휴대전화번호가, 35명은 성명·생년월일·아이디(ID)가 유출되는 피해를 입었다. 행안부는 “주민등록번호, 민감정보 등은 유출되지 않은 것으로 확인됐다”고 밝혔다.

행안부는 외부 공격을 인지한 즉시 해당 공격자의 IP를 차단하고, 관리자 페이지의 다운로드 기능 및 다운로드 경로를 차단 조치했다. 웹사이트 취약점 점검을 포함한 보안 조치를 실시하고, 개인정보보호위원회에 관련 사실을 신고했다.

지난 21일부터는 1365 자원봉사포털 홈페이지에 사과문을 게재하고, 개인정보유출에 따른 피해접수 등 사후 조치를 진행 중이다. 아직까지 2차 피해를 신고한 사람은 없는 것으로 알려졌다.

행안부 관계자는 “이번 사건은 해외 IP를 통해 시스템의 경로 추적 및 파일 다운로드 취약점을 악용해 비정상적으로 침투한 케이스”라며 “메인 데이터베이스(DB)가 탈취된 것은 아니며, 공격자가 탈취한 일부 로그 파일에 당일 본인 인증을 했던 이용자들의 개인정보가 남아 있어 유출된 것으로 파악했다”고 말했다.

1365 자원봉사포털은 전국의 다양한 자원봉사 정보를 검색하고, 자신의 봉사활동 사항이나 실적 등을 관리할 수 있는 국내 최대 규모의 자원봉사 플랫폼이다. 현재 가입된 회원 수는 약 1500만명으로, 대한민국 전체 주민등록 인구의 약 30%에 달한다.

이곳은 성착취물 유포 텔레그램 대화방 ‘박사방’을 운영한 조주빈, 강훈 등 주범들이 일부 피해자들의 정보를 빼내는 통로로도 악용돼 보안관리가 허술하다는 비판을 받았다. 조씨 등은 피해자들의 이름과 생년월일 등을 통해 1365 자원봉사포털 아이디를 알아냈고, 이를 통해 임시 비밀번호를 발급받은 후 주소 등 각종 개인정보를 파악했다. 2020년 국회 행정안전위원회 국정감사에서 이 문제가 지적되자 진영 당시 행안부 장관은 “매우 죄송스럽다. 이런 일이 없도록 하겠다”고 밝혔다.

행안부는 유출 피해자들에게 전화와 이메일 등을 통해 개별적으로 유출 사실을 안내했다고 밝혔다. 긴급 보안 조치가 완료될 때까지 해외에서 접속하는 모든 경로를 일정 기간 동안 차단한다는 방침이다.

행안부 관계자는 “현재 웹사이트의 핵심 취약점 보안 조치를 완료했고, 그 외에도 전면적으로 재점검하면서 재발 방지 대책을 마련할 계획”이라며 “휴일에도 콜센터와 24시간 카카오톡 채널 상담을 운영하고 있고, 2차 피해 방지를 위해서 피해자 명의 보호 방안 등을 추가로 강구하고 있다”고 했다.

경향신문 최서은 기자 cielo@kyunghyang.com