감사원, 해커 의뢰 공공기관 모의 침투…7개 시스템 전부 '개인정보' 털려

(서울=뉴스1) 이기림 기자 = 정부가 공공부문 개인정보 안전조치를 강화하기 위해 지정한 집중관리시스템(현 공공시스템)에서 보안취약점이 발견돼 외부해킹에 의한 개인정보 유출 우려가 있는 것으로 감사원 감사결과 확인됐다.

감사원이 27일 발표한 '개인정보 보호 및 관리실태' 감사보고서에 따르면, 개인정보보호위원회가 2022년 지정한 123개 공공부문 집중관리시스템에서 이같은 문제가 발견됐다.

감사원은 화이트 해커 11명을 감사에 참여시켜 123개 공공시스템 중 개인정보 보유량이 많은 7개 시스템을 대상으로 모의해킹을 했다.

그 결과, 7개 시스템 모두 권한이 부여되지 않은 타인의 정보를 조회할 수 있는 취약점을 통해 개인정보 유출이 가능했다.

한 시스템은 접속에 필요한 중요정보가 암호화되지 않아 해커 등이 관리자 권한 획득 시 13만 명의 주민번호 등 탈취가 가능했고, 다른 시스템은 해커가 고객 조회정보 조작을 통해 3000명의 주민번호 등 확인이 가능했다.

2개 시스템의 경우, 개인정보를 조회하는 입력값이 적정한지 검증이 미흡한 취약점을 통해 개인정보 유출이 가능했다.

또한 공공부문의 개인정보 유출 원인은 95.5%가 외부 해킹에 의해서 발생하고 내부직원의 고의유출은 0.1%에 불과해 외부 해킹 대비 대책이 절실한 상황이었다.

그러나 개인정보위가 2022년 공공부문 개인정보 유출 방지대책을 수립하면서 개인정보 접근권한 관리 등 내부직원의 고의유출 통제만 강화하고, 외부 해킹에 대비한 공공시스템 보안취약점 점검 대책이 부재한 것으로 드러났다.

아울러 개인정보위는 퇴직하거나 전보된 직원의 공공시스템 접근권한을 적기에 말소할 수 있도록 하기 위해 인사정보가 전산 연계되도록 의무화했으나, 4개 공공시스템을 대상으로 점검한 결과 문제가 확인됐다.

교육행정시스템의 경우 계약직 교원의 인사정보가 연계되지 않아 경기교육청에서 퇴직한 계약직 교원 3000명의 접속 권한이 유지되는 등 4개 시스템 모두에서 접근권한 말소 누락사례가 발견됐다.

또한 개인정보위는 2021년부터 다크웹에 불법유통되는 계정정보를 수집해 국민이 직접 유출여부를 확인하는 '털린 내 정보 찾기' 서비스를 운영하는데, 국민이 유출된 출처를 확인하고 비밀번호를 수정하기 어려운 실정이었다.

한국인터넷진흥원은 매년 정부·지자체·공공기관 등 공공부문의 탐지대상 웹사이트 주소를 해당 기관에 조회해 변경사항을 현행화하는데, 이번 감사에서 진흥원이 탐지 시 활용하는 데이터베이스(DB)와 현행화 조사를 실시하는 DB가 상이한 것도 확인됐다.

2024년 웹사이트 주소 현행화를 위해 해당 기관에 조회 시 엑셀 파일로 관리 중인 4만 8000개 주소만 조회해 3만 8000개는 현행화가 미실시됐다.

lgirim@news1.kr