작년 2만여개 홈페이지서 개인정보 노출

KISA, 국내외 탐지현황 공개
전년대비 8.4% 상성...매년 증가세
관리자 부주의 주원인으로 꼽혀
“언제든 유출 가능해 경각심 가져야”

ⓒ게티이미지뱅크

지난해 개인정보가 노출된 홈페이지가 2만여개에 달하는 것으로 나타났다. 홈페이지 관리자 등의 부주의로 인해 개인정보가 노출되면 언제든 유출 사고가 번질 수 있어 각별한 주의가 요구된다.

한국인터넷진흥원(KISA)의 '국·내외 개인정보 노출 탐지 현황'에 따르면, 지난해 개인정보 노출 페이지는 전년(1만9366개) 대비 8.4% 늘어난 2만999개에 달한다. 개인정보 노출 페이지는 2019년(1만4476개) 이후 2020년 1만5038개, 2021년 1만6625개로 매년 증가세를 보이고 있다.

개인정보 노출은 홈페이지에서 누구든지 개인정보를 알아볼 수 있어 언제든지 유출로 이어질 수 있는 상태를 말한다. 개인정보가 포함된 게시물을 누구든지 알아볼 수 있는 상태로 등록했거나 이용자 문의 댓글에 개인정보가 공개된 경우가 대표적이다. 또 개인정보가 포함된 첨부파일을 홈페이지에 게시할 경우 개인정보가 그대로 노출된다.

개인정보 노출의 가장 큰 원인은 홈페이지 운영·관리자 부주의로 조사됐다. 2021~2022년 2년간 공공부문에서 발생한 홈페이지 개인정보 노출 원인 중 절반(50.8%)을 차지한다. 대다수 노출 사고(84%)가 '개인정보가 포함된 첨부파일'을 홈페이지에 등록해 발생했다.

일례로, A협회 사이트 운영자가 기부금 영수증 발급명세서가 포함된 문서파일을 공지사항 게시판에 업로드했는데, 이름·주민등록번호·주소 등을 마스킹하지 않아 개인정보가 노출된 경우도 있다.

홈페이지 설계·개발 오류(30.1%), 이용자 부주의(19.1%)를 비롯해 검색엔진을 통한 2차 노출 등도 개인정보 노출 원인으로 꼽힌다.

검색엔진을 통한 2차 노출 문제는 일종의 시차에 의해 발생한다. 검색엔진의 경우 정보수집 단계에서 크롤러(crawler)가 인터넷 웹사이트를 주기적으로 방문해 각종 정보를 자동으로 수집한다. 검색엔진이 개인정보를 포함한 웹페이지를 수집한 이후, 사이트 운영자가 해당 웹페이지에서 삭제하더라도 크롤러가 재수집하지 않는 동안 개인정보가 여전히 검색엔진에서 검색될 수 있다. 홈페이지에 개인정보가 잠시라도 업로드된 경우, 검색엔진이 수집했는지를 확인하고 남아 있는 노출 정보를 삭제하는 등 조치가 필요하다.

개인정보 노출과 유출은 '권한 없는 자의 접근 여부'가 가른다. 단순히 게시판에 개인정보가 게시됐다면 노출에 해당된다. 하지만 권한 없는 자의 접근이 이뤄지거나 개인정보를 다운로드했다면 개인정보 유출이 된다. 개인정보 노출이 유출 사고로 커지는 건 시간문제라는 얘기다.

개인정보 노출을 방치할 경우 언제든 유출 사고가 발생할 수 있으며, 사생활 침해·명의도용·불법스팸·보이스피싱 등 경제적·정신적 피해를 불러오고 각종 범죄에 악용될 수 있다는 우려도 있다.

KISA 관계자는 “개인정보가 노출됐다면 이를 신속하게 삭제하거나 비공개 처리해야 한다”며 “권한 없는 제3자가 개인정보에 접근해 유출로 판단된다면, 정보 주체에게 이를 통지하고 관계기관에 신고하는 등 조치를 취해야 한다”고 말했다.

최근 3년간 국내·외 개인정보 노출 탐지 현황 (단위: 페이지) - 출처: 한국인터넷진흥원

조재학 기자 2jh@etnews.com