연말정산 821명 개인정보 누출.. 국세청, 4일간 모르다 늑장 발표

15~18일 로그인 보안 허점
민간 인증서 적용 과정 오류
피해 구제 절차도 함께 안내

821명의 연말정산 개인정보가 노출돼 파장이 일고 있는 가운데 한 사용자가 국세청 홈택스 온라인 연말정산서비스를 이용하고 있다. 연합뉴스

국세청의 온라인 연말정산 간소화 서비스의 로그인 결함으로 821명의 민감한 개인정보가 누출된 것으로 뒤늦게 드러났다.

국세청은 간소화 서비스를 시작한 지난 15일부터 18일까지 4일간 보안 허점이 있는 줄도 모르고 서비스를 제공했다가, 뒤늦게 허점을 발견하고 이같은 사실을 공개했다. 연말정산 관련 정보는 개인의 주민등록번호부터 가족관계, 사용금액, 의료비 지출 내역 등 개인에게는 굉장히 민감한 것들로, 자칫 이같은 개인정보를 이용한 금융사고까지 발생할 수 있어 파장이 클 것으로 예상된다.

27일 국세청은 지난 15일 오전 6시부터 18일 오후 8시까지 로그인 보안 허점으로 821명의 개인정보가 누출됐다고 밝혔다.

로그인 보안 허점은 새로운 민간인증서 2종을 로그인에 사용할 수 있도록 적용하면서 발생했다. 국세청은 기존 공동인증서를 비롯해 카카오·통신3사 패스(PASS)·페이코·삼성패스·KB국민은행 5종의 민간인증서 외에 네이버와 신한은행 2종의 민간인증서로도 로그인을 할 수 있도록 했다. 그러나 새로운 민간 인증서를 적용하는 과정에서 일부 개인 검증 절차가 생략됐다.

국세청 홈택스 로그인 절차는 '이용자 성명과 주민등록번호 입력', '인증 요청 및 회신 등 간편인증', '이용자 인적 사항과 인증 시 인적 사항 일치 여부 검증' 3단계로 진행되는데, 마지막 단계를 누락한 것이다. 이에 따라 다른 사람의 이름과 주민번호를 입력한 뒤, 자신의 민간인증서로도 로그인이 가능하게 됐다. 이렇게 되면 다른 사람의 이름과 주민번호만 알면 그 사람의 민감한 연말정산 정보를 모두 볼 수 있게 된다.

국세청은 보안 허점이 있었던 나흘간 로그인 기록을 모두 분석한 결과, 이용자 인적 사항과 인증 시 인적 사항이 다른 사례가 821건이었다고 설명했다.

국세청은 개인정보보호법과 표준개인정보보호지침에 따라 5일 내 타인에 의해 자료가 조회된 821명에게 서면이나 이메일, 전화 등을 통해 개인정보 노출 사실과 사과문을 개별 통지키로 했다. 또 조회된 자료 내역, 개인정보 노출 시점, 향후 조치 방안, 피해 구제 절차 등도 함께 안내키로 했다.

국세청은 이같은 사고가 다시 발생하지 않도록 외부전문가가 참여하는 개인정보보호검증 태스크포스(TF)를 구성, 전산시스템 전반에 대한 개인정보 보호·관리 실태를 점검하고, 재발 방지책을 마련할 계획이라고 밝혔다.

국세청 측은 "납세자 여러분께 진심으로 사과드린다"며 "사안의 심각성을 깊이 인식하고 앞으로 이런 일이 재발하지 않도록 각고의 노력을 기울이겠다"고 밝혔다. 강민성기자 kms@dt.co.kr