공공기관들이 이용하는 전산 시스템의 개인정보 보호 체계가 허술해 해커가 한 곳만 뚫어도 사실상 전 국민의 주민등록번호를 비롯한 각종 개인정보를 한 눈에 들여다볼 수 있었다는 감사원 감사 결과가 27일 나왔다.
감사원에 따르면 개인정보보호위원회(개보위)는 개인정보 유출 증가로 인한 국민 피해가 커지자 2022년 7월 ‘공공부문 개인정보 유출 방지대책’을 마련했다. 공공부문 개인정보 처리 시스템 1만6000개 중 개인정보 보유량이 많은 123개는 집중 관리가 필요한 ‘공공시스템’으로 지정했다. 그런데 감사원이 화이트해커 11명을 동원해 개인정보 보유량이 많은 공공시스템 상위 7곳을 모의 해킹해 보니 이들 시스템 전부 보안이 허술하기 짝이 없었다.
한 공공망은 개인정보 조회를 위한 입력값 검증 과정이 미흡했다. 해커가 무제한 반복 시도로 보안체계를 뚫으면 5000만명의 주민번호를 들여다볼 수 있었다. 해커가 작심하고 이 공공망을 파고들면 전 국민 주민번호가 털릴 수 있던 것이다. 다른 공공망은 시스템 개편을 마치기 전 취약점을 점검해놓고선 개통 때 재점검을 하지 않았다. 이 때문에 해커의 접근을 차단할 수 없었다. 해커는 1000만명의 회원정보를 20분 안에 탈취할 수 있었다.
또 다른 공공망은 시스템 접속에 필요한 중요정보가 암호화돼 있지 않았다. 그 탓에 해커가 관리자 권한을 얻어 13만명의 주민번호를 가로챌 수 있었다. 이용자의 민원 제기가 정당한지를 검증하지 않아 3000명의 주민번호를 노출한 공공망도 있었다.
퇴직자의 접근 권한을 살려뒀던 공공망들도 있다. 경기도교육청 교육행정정보시스템은 퇴직한 계약제 교원 3731명의 접근 권한이 살아있는데도 방치했다. 이 시스템은 도교육청은 물론 관할 교육지원청, 각급 학교 소속 14만명이 이용한다. 도교육청을 비롯한 운영기관들은 계약제 교원을 시스템상 퇴직 처리해도 개인정보 취급 권한이 말소되지 않는 오류가 있었지만 이를 몰랐다.
고용노동부와 근로복지공단, 국민연금공단 등이 이용하는 ‘4대 사회보험정보 연계시스템’, 서울 송파보건소와 전남 완도 및 충남 청양 보건의료원 등이 활용하는 ‘지역보건의료정보시스템’도 퇴직자의 접근이 가능했다. 서울 노원·강서구와 인천 부평구 등이 이용하는 ‘사회보장정보시스템’도 사정은 마찬가지였다. 개보위가 2023년 이들 시스템에 대해 인사정보 연계 여부만 살피고 실제 퇴직자 접근 권한이 말소됐는지는 확인하지 않았다고 감사원은 지적했다.
감사원은 감사 지적사항들에 대한 개선 방안을 마련하라고 개보위에 통보했다.