[단독] 자금조달계획서·임대차계약서까지 ‘뚫린’ 정부 사이트

국토교통부 산하 한국부동산원이 운영하는 부동산거래관리시스템에서도 보안 문제가 발생한 것으로 확인됐다. 개인이 첨부하는 자금조달계획서와 임대차계약서를 무작위로 내려받는 게 가능했다.

첨부파일 보안 문제가 발생한 국토교통부 부동산거래관리시스템(RTMS) 홈페이지 첫 화면. ⓒRTMS 홈페이지 캡처

자동차정보관리시스템(Car365)에 이어 국토교통부 산하기관 누리집 중 하나인 부동산거래관리시스템(RTMS)에서도 개인정보가 담겨 있는 파일이 유출될 수 있는 보안 문제가 발생했다. 〈시사IN〉 취재 결과, 부동산 매매 및 임대차 거래 과정에서 제출하는 자금조달계획서와 임대차거래계약서 사본이 특정 조작을 통해 무작위로 추출되는 것으로 확인되었다.

이번에 보안 문제가 발생한 RTMS는 국토교통부와 한국부동산원이 운영하는 부동산 거래 신고 및 전산화 플랫폼이다. 부동산 거래의 투명성을 높이고 거래 내역을 전산화하기 위해 구축되었다. 2006년부터 운영해온 플랫폼으로 부동산 매매 신고와 실거래가 공개 등에 활용되었다.

이번에 문제가 발생한 RTMS는 지난해 2월 새로 개편한 ‘차세대 부동산거래관리시스템(rtms.molit.go.kr)’이다. 당시 국토교통부는 시스템 업그레이드를 통해 기존 구형 시스템에 비해 개인정보 안전조치가 강화되었다고 홍보했다(2024년 2월4일 보도자료). 부동산 매매 또는 임대차 거래를 신고하는 절차가 RTMS에서 이뤄진다.

문제는 이 사이트에서 부동산 매매 또는 임대차 신고 시 관련 서류(PDF 파일)를 첨부하는 ‘첨부파일 서버’ 보안에 구멍이 생겼다는 점이다. 만약 어떤 사용자가 RTMS에 자금조달계획서나 임대차거래계약서를 PDF 파일로 업로드할 경우, 해당 사용자는 자신이 올린 첨부파일을 ‘신고내역 상세조회’에서 확인할 수 있다. 이때 개별 거래 상세조회 결과 페이지에 첨부파일(자금조달계획서, 임대차거래계약서)을 확인할 수 있는 버튼이 생성되는데, 이 버튼의 URL에서 일련번호를 조작할 경우(파라미터 조작) 전혀 엉뚱한 다른 사람들의 자금조달계획서나 임대차거래계약서를 무작위로 다운로드 받을 수 있다. 한 IT 전문가는 “첨부파일은 파일서버에 보관되는 것으로 보이는데, 이 파일서버 보안에 문제가 있는 것으로 보인다”라고 지적했다.

부동산 거래 자금의 원천 정보 유출 위험

RTMS의 보안 문제는 대규모 개인정보가 추출되는 Car365 보안 이슈(‘[단독] 윤석열 정부 역점 사업, 차 번호만 넣으면 주민번호 유출’ 기사 참조)와 달리, API를 통해 정보가 유출되는 방식이 아니라는 점, 첨부파일 해킹을 위해서는 반드시 로그인을 해야 하는 점이 다르다.

그러나 불특정 다수의 자금조달계획서와 임대차거래계약서를 내려받을 수 있는 보안 허점이 발견됐다는 점에서 여전히 개인정보 유출에 대한 우려가 남는다. 자금조달계획서에는 이름과 주민등록번호, 연락처 외에도 개인이 부동산을 거래하면서 동원한 자금의 원천이 상세히 기록되어 있다. 임대차거래계약서 역시 개인정보가 포함되어 있기는 마찬가지다. 다만 RTMS에서 이 같은 방식으로 데이터를 유출하기 위해서는 이미 첨부파일을 한 번 업로드한(자금조달계획서나 임대차거래계약서를 업로드한 이력이 있는) 경우에만 접근할 수 있어서, Car365에 비해 피해가 발생하더라도 제한적일 수 있다.

RTMS를 위탁 운영하는 한국부동산원은 10월23일 〈시사IN〉에 “(〈시사IN〉이 확인한 방식을 통해) 비정상적인 접근이 가능하다는 것을 확인했다. 즉시 이 같은 보안 문제를 시정했고, 현재까지는 해당 접근 경로를 통한 개인정보 유출이 없었던 것으로 파악하고 있다. 추가적인 유출이 있었는지에 대해 계속 확인 중이다”라고 답했다.

RTMS를 비롯해 국토부 산하 IT 서비스의 보안 문제에 대한 자세한 소식은 〈시사IN〉 제947호(10월31일 발행 예정)에서 보도할 예정이다.

김동인 기자 astoria@sisain.co.kr

▶읽기근육을 키우는 가장 좋은 습관 [시사IN 구독]
▶좋은 뉴스는 독자가 만듭니다 [시사IN 후원]
©시사IN, 무단전재 및 재배포 금지