감사원 "공공시스템, 외부 해킹으로 개인정보 유출 우려…다크웹 대응도 부실"

개인정보 보호 및 관리실태 주요 감사결과 발표

[서울=뉴시스] 박준호 기자 = 정부가 개인정보 안전조치를 강화하기로 한 공공시스템을 모의해킹한 결과, 외부 해킹에 의한 개인정보 유출 우려가 여전한 것으로 나타났다. 일반 검색엔진으로는 노출되지 않는 다크웹(Dark Web·특정 프로그램으로만 접속되는 비밀 사이트)의 개인정보 불법 유통에 대한 개인정보위원회의 대응 부실 등 문제점도 감사로 드러났다.

감사원은 27일 이 같은 내용이 포함된 '개인정보 보호 및 관리실태' 감사보고서를 공개했다.

감사원은 대규모 개인정보 유출로 인한 국민적 불안감이 커지자, 공공부문에서 근무하는 화이트 해커 11명을 동원해 7개 공공시스템을 직접 모의해킹하면서 보안취약점을 점검하고, 다크웹에 불법 유통되고 있는 공공부문 유출정보 106만건을 분석했다.

정부가 개인정보 안전조치를 강화하고자 지정한 123개 집중관리시스템 중 7개 시스템을 모의해킹한 결과, 7개 시스템 모두 권한이 부여되지 않은 타인의 정보 조회가 가능해 개인정보 유출 우려가 있었다. 또 2개 시스템은 개인정보를 조회하는 입력값이 적정한지에 대한 검증이 미흡해 개인정보 유출이 가능했다. 

이 중에는 시스템 접속에 필요한 중요정보가 암호화되지 않아 해커 등이 관리자 권한을 획득할 경우 13만명의 주민번호 탈취가 가능한 곳도 있었다. 입력값을 검증하는 과정이 미비해 제한 없는 반복 시도를 통해 5000만명의 주민번호 등이 조회 가능한 시스템도 있었다.

개인정보보호위원회는 송파살인사건 등을 계기로 개인정보 안전조치를 강화하기 위해 공공부문 1만6000개 시스템 중 개인정보를 대량으로 보유한 123개 시스템을 집중관리시스템(현 '공공시스템')으로 지정한 바 있다.

개인정보위는 '공공부문 개인정보 유출 방지대책'을 수립하면서 개인정보 접근권한 관리 등 내부 직원의 고의유출 통제만 강화하고 외부 해킹에 대비한 공공시스템 보안취약점 점검 대책이 부재한 것으로 감사에서 드러났다.

퇴직자 접근권한을 적기 말소하지 않거나 운영자가 데이터베이스에 직접 접속·조회한 기록에 대한 관리 및 점검이 누락된 사례도 있었다.

4개 공공시스템을 대상으로 접근권한이 적시에 말소되고 있는지 점검 결과, 교육행정시스템의 경우 계약직 교원의 인사정보가 연계되지 않아 경기교육청에서 퇴직한 계약직 교원 3000명의 접속 권한이 유지되는 등 4개 시스템 모두 접근권한 말소 누락 사례가 확인됐다.

아울러 웹사이트의 중요도에 따라 탐지주기(3·7·14일)를 정하고 1000명 이상 대량노출이 발생한 경우 주기를 단축하도록 계획했으나, 2023년 탐지실시한 6만2000개의 웹사이트 중 99%는 기준 대비 50% 이하만 탐지하는 등 탐지주기를 준수하지 않았다. 대량노출로 주기를 변경(14일→7일)해야 하는 웹사이트 1595개 중 88%는 변경하지 않은 사실도 감사원에 적발됐다.

감사원은 불법 유통되는 개인정보로 인한 피해방지를 위해 개인정보위가 운영하는 '털린 내 정보 찾기' 서비스 제공 정보를 확대하고, 유출 웹사이트 운영자에게 관련정보를 제공하도록 했다.

이 서비스를 위탁·운영하는 한국인터넷진흥원 개인정보조사단(개인정보위 위탁)은 다크웹 유통정보를 수집하는 한국인터넷진흥원 인터넷침해대응센터(과기정통부 위탁)로부터 유출정보를 공유받아 국민에게 제공하고 있으나, 당초 계정정보(아이디·비밀번호)만 입력하던 시스템 구조에 맞춰 이메일 도메인을 삭제 후 아이디와 비밀번호만을 서비스에서 제공해 국민들이 유출된 출처를 확인하고 비밀번호를 수정하기 어려운 실정이라고 감사원은 지적했다. 

이밖에 개인정보위 위원장에게 한국인터넷진흥원으로부터 1000명 이상의 개인정보가 노출된 내역을 월간보고서 등으로 통보받는 경우, 개인정보처리자로 하여금 개인정보 유출여부를 확인하고 그 결과를 제출하도록 하는 방안을 마련하고, 스팸, 보이스피싱과 같은 범죄를 사전 예방하기 위하여 매개체인 휴대전화번호를 암호화하는 개선방안을 마련토록 통보했다.

◎공감언론 뉴시스 [email protected]