감사원이 정부 공공 전산시스템 일곱 곳을 모의 해킹한 결과 모든 대상 기관에서 개인정보 탈취 가능성이 있는 보안 취약점이 발견됐다고 27일 발표했다.
감사원은 공공부문에서 근무하는 화이트 해커 11명을 참여시켜 공공시스템 중 개인정보 보유량이 많은 일곱 개 시스템을 선정해 모의 해킹을 했다. 점검 대상은 개인정보보호위원회가 지정한 123개 공공기관 등의 전산시스템이다.
점검 결과 모 기관의 시스템은 고객의 조회 정보를 조작하는 수법으로 해커가 3000명의 주민번호를 확인할 수 있었다. 또 반복적 시도로 5000만 명의 주민번호 조회가 가능하거나 비정상적 조회를 차단하지 않아 1000만 명의 회원 정보가 20분 내 탈취될 수 있을 정도로 취약한 곳도 있었다. 감사원이 대상 일곱 개 시스템을 운영하는 기관에 관련 사항을 전달해 현재는 보완이 완료된 상태다.
감사원은 이와 별개로 인사정보가 연계된 경기교육청 교육행정정보 시스템, 4대 사회보험 정보연계 시스템, 사회보장정보 시스템, 지역보건의료정보 시스템 등에서 퇴직한 직원 등의 접근 권한 말소를 누락하는 등 관리에 허점을 노출한 사례도 확인했다.
감사원은 개인정보가 유출되더라도 스팸, 보이스피싱 등 범죄에 활용되지 않도록 휴대폰 번호 암호화 등의 개선 방안을 마련할 것을 주문했다. 다크웹에서 불법 유통되는 개인정보를 국민이 직접 확인하는 ‘털린 내 정보 찾기’ 서비스의 품질도 제고하라고 개인정보위에 통보했다.
이현일 기자 hiuneal@hankyung.com
감사원은 공공부문에서 근무하는 화이트 해커 11명을 참여시켜 공공시스템 중 개인정보 보유량이 많은 일곱 개 시스템을 선정해 모의 해킹을 했다. 점검 대상은 개인정보보호위원회가 지정한 123개 공공기관 등의 전산시스템이다.
점검 결과 모 기관의 시스템은 고객의 조회 정보를 조작하는 수법으로 해커가 3000명의 주민번호를 확인할 수 있었다. 또 반복적 시도로 5000만 명의 주민번호 조회가 가능하거나 비정상적 조회를 차단하지 않아 1000만 명의 회원 정보가 20분 내 탈취될 수 있을 정도로 취약한 곳도 있었다. 감사원이 대상 일곱 개 시스템을 운영하는 기관에 관련 사항을 전달해 현재는 보완이 완료된 상태다.
감사원은 이와 별개로 인사정보가 연계된 경기교육청 교육행정정보 시스템, 4대 사회보험 정보연계 시스템, 사회보장정보 시스템, 지역보건의료정보 시스템 등에서 퇴직한 직원 등의 접근 권한 말소를 누락하는 등 관리에 허점을 노출한 사례도 확인했다.
감사원은 개인정보가 유출되더라도 스팸, 보이스피싱 등 범죄에 활용되지 않도록 휴대폰 번호 암호화 등의 개선 방안을 마련할 것을 주문했다. 다크웹에서 불법 유통되는 개인정보를 국민이 직접 확인하는 ‘털린 내 정보 찾기’ 서비스의 품질도 제고하라고 개인정보위에 통보했다.
이현일 기자 hiuneal@hankyung.com
관련뉴스
