감사원이 정부 공공 전산 시스템 7곳을 선정해 모의 해킹한 결과 대상 기관 모두 손쉽게 개인정보를 탈취할 수 있는 수준인 것으로 드러났다.
감사원은 27일 이 같은 내용을 골자로 하는 개인정보 보호 및 관리실태 감사 결과를 공개했다. 점검 대상은 개인정보보호위원회가 지정한 123개 공공기관 등의 전산시스템이다. 감사원은 공공부문에서 근무하는 화이트 해커 11명을 감사에 참여시켜 공공시스템 가운데 개인정보 보유량이 많은 7개 시스템을 선정해 모의 해킹을 실시했다. 점검 결과 7개 시스템 모두에서 손쉽게 개인정보 탈취가 가능했다.
점검 결과 모 기관의 시스템은 접속에 필요한 중요 정보가 암호화되지 않아 해커가 관리자 권한을 획득할 경우 13만 명의 주민등록번호 탈취가 가능했다. 다른 한 기관의 시스템은 고객의 조회 정보를 조작하는 수법으로 해커가 3000명의 주민번호를 확인할 수 있었다. 또 제한 없는 반복적 시도로 5000만 명의 주민번호 조회가 가능하거나 비정상적 조회를 차단하지 않아 1000만 명의 회원 정보가 20분 내 탈취할 수 있을 정도로 취약한 곳도 있었다. 감사원이 대상 7개 시스템을 운영하는 기관에 관련 사항을 전달해 현재는 보완이 완료된 상태다.
감사원은 이와 별개로 인사정보가 연계된 경기도교육청 교육행정정보시스템, 4대사회보험정보연계시스템, 사회보장정보시스템, 지역보건의료정보시스템 등에서 퇴직한 직원 등에 대한 접근 권한 말소를 누락하는 등 관리에 허점을 노출한 사례도 확인했다.
감사원은 개인정보 유출 대응 조치 전반에 대해서도 개선을 주문했다. 먼저 2021∼2025년 개인정보가 대량으로 유출된 320건 중 306건(96%)에서 평균 81일(최대 838일)간 정보가 인터넷에 노출됐을 가능성이 있다며 관련 기관의 미신고로 유출 여부를 제때 확인하지 못하는 문제가 발생했다고 지적했다. 감사원은 "해당 기관이 유출 여부를 확인하고 조사 결과를 제출하도록 하는 절차 마련에 개인정보위가 소극적이었다"며 개선 방안을 마련하라고 통보했다.
이와 함께 개인 정보가 유출되더라도 스팸·보이스피싱 등 범죄에 활용되지 않도록 휴대전화 번호 암호화 등의 개선 방안을 마련할 것을 주문했다. 다크웹에서 불법 유통되는 개인 정보를 국민이 직접 확인하는 '털린 내 정보 찾기' 서비스의 품질도 제고하라고 개인정보위에 통보했다.
이현일 기자 hiuneal@hankyung.com
관련뉴스
