[단독] 윤석열 정부 역점 사업, 차 번호만 넣으면 주민번호 유출
국토교통부가 운영하는 각종 교통·부동산 관련 IT 서비스에서 대규모 개인정보 해킹이 가능한 보안 허점이 발견됐다. 자동차 번호만 알아도 소유주의 이름과 주민등록번호, 주소, 각종 보험 정보와 자동차 등록 관련 정보가 유출되었다. 개인이 첨부하는 자금조달계획서와 임대차계약서를 무작위로 내려받는 것도 가능했다(‘[단독] 자금조달계획서, 임대차계약서까지 ‘뚫린’ 정부 사이트’ 기사 참조).
가장 심각한 개인정보 유출은 국토교통부 산하 한국교통안전공단(TS)이 운영하는 ‘차세대 자동차정보관리시스템(Car365)’에서 발생했다.〈시사IN〉은 Car365 홈페이지(car365.go.kr)에서 특정 자동차 번호가 포함된 URL(웹 주소)을 입력할 경우, 해당 차량 소유주의 개인정보가 대량 유출된다는 사실을 확인했다(파라미터 조작). 이때 유출되는 개인정보는 차량 소유주의 이름, 주민등록번호, 주소(번지 제외), 자동차보험 정보, 차량 구입일, 차량 구입 가격 등이다. 민감한 개인정보를 포함해 총 188가지 관련 정보가 추출되었다(아래 〈그림〉 참조).
유출 가능한 개인정보 가운데 가장 치명적인 항목은 차량 소유주의 이름과 주민등록번호, 그리고 주소 정보다. 특히 주민등록번호와 같은 개인 식별 정보는 개인정보보호법상 가장 중요한 개인정보 중 하나로 취급된다. 고도의 기술이 동원되어야 뚫리는 문제도 아니었다. 〈시사IN〉이 확인한 Car365 사이트의 보안 허점을 이용할 경우, 특별한 IT 기술 없이도 인터넷 브라우저 주소창에 특정 URL을 입력하고, 마지막에 차량번호만 입력하면 개인정보 유출과 악용이 가능했다.
각종 민간 서비스에 활용되는 핵심 공공데이터 서비스인데···
현재까지 〈시사IN〉이 찾아낸 Car365의 보안 허점은 총 6가지 경로다. 이 중 5개 경로는 차량번호를 통해 해당 차량의 정보를 뽑아내는 방식이고, 나머지 한 가지는 특정 차량의 폐차 정보를 불러오는 방식이다. 폐차 정보에는 각종 압류 이력(압류관리번호 포함), 검사 이력(주행거리 포함), 지방세 체납 이력(등록권리자 주소 포함) 등도 포함되어 있었다. 이 같은 폐차 정보는 특정 URL에서 20자리 숫자로 이뤄진 ‘신청서 번호’를 바꿔 입력할 경우 무작위로 추출할 수 있었다.
Car365의 보안 허점이 악용될 경우, 대규모 크롤링을 통해 전 국민의 차량 관련 개인정보를 한 번에 확보하는 것도 불가능한 일이 아니다. 유출이 발생하더라도 추적이 쉽지 않다. 홈페이지 설계 오류로 인해 Car365에 로그인하지 않고도 이러한 개인정보를 뽑아볼 수 있기 때문이다. 〈시사IN〉이 확인한 결과, 특정 브라우저를 새로 연 상태에서 1회까지 이 같은 개인정보 유출이 가능했다(로그인한 상태에서는 횟수 제한 없이 개인정보 열람 가능). 브라우저를 종료했다가 다시 실행하기를 반복하며 로그인하지 않은 상태로 개인정보를 무제한 유출할 수 있는 구조다.
〈시사IN〉이 자문을 요청한 한 IT 보안 전문가는 Car365의 보안 문제에 대해 “시스템이 총체적으로 잘못 설계·운영되었다”라고 지적했다. 자문 과정에서 확인한 Car365의 문제는 크게 두 가지다. 첫째, 각종 개인정보가 포함된 대규모 데이터에 아무런 인증·인가 절차가 없이 접근이 가능하다. 이로 인해 악의적으로 데이터에 접근하려는 사람들을 제대로 모니터링하는 게 불가능하다. 이 전문가는 “API 키가 없이도 정보가 제공되고 있다. 이미 얼마나 데이터가 유출되었을지 모를 가능성이 높다”라고 지적했다. 〈시사IN〉 역시 취재 과정에서 각종 테스트를 진행했으나 접근 과정에서 어떠한 제한도 받지 않았다.
설령 홈페이지 설계 오류가 있더라도, 민감한 개인정보인 주민등록번호, 주소 등은 데이터를 가지고 있는 서버 차원에서 접근을 막아야 했다. 그러나 실제로는 별도 암호화 과정도 없이 개인정보 호출이 가능했다. 웹서비스는 보통 사용자단(프런트엔드)과 서버단(백엔드)으로 구분된다. 사용자단의 설계에 문제가 있어서 이번 사태처럼 정보 호출을 하더라도 서버단에서 민감한 개인정보는 걸러져야 하지만, Car365의 API 설계는 이러한 조치가 선행되지 않았다.
Car365는 ‘내 차 시세 확인하기’와 같이 각종 민간 서비스에 활용되는 핵심 공공데이터 서비스다. 정보 비대칭 시장인 중고차 시장에서 중고차 매물의 법인 사용 이력, 보험 이력을 확인할 때에도 이 데이터가 쓰인다. 중고차 침수 차량 조회, 자동차 리콜, 허위 매물 차량 신고 등도 모두 Car365를 바탕으로 제공되는 서비스다.
특히 Car365는 윤석열 정부 당시 디지털플랫폼정부위원회가 추진한 대표 사업 중 하나로 꼽힌다. 윤석열 정부는 국정과제로 ‘디지털 플랫폼 정부’를 추진했고, 이를 이끌 조직으로 2022년 9월2일 대통령 직속 디지털플랫폼정부위원회를 출범했다. 2023년 11월20일, 당시 디지털플랫폼정부위원회는 기존 Car365를 단순 정보 조회 시스템에서 오픈 API로 개방하겠다고 선언하며 “자동차 이력관리 정보를 핵심 개방 데이터로 선정하여 개방하는 사업을 본격 착수한다”라고 밝혔다. 그 결과가 현재 운영 중인 Car365 서비스다.
공공데이터 개방이라는 방향성이 잘못된 것은 아니지만, 그 과정에서 주민등록번호와 주소 같은 민감 개인정보가 아무런 허들 없이 무단 유출되는 것은 이야기가 다르다. 이번 Car365 사태는 API 관리 체계에 거대한 허점이 있다는 것을 드러내 공공데이터 관리 체계의 신뢰도를 낮추고 있다.
〈시사IN〉은 보도에 앞서 10월22일, 소관 기관인 국토교통부와 한국교통안전공단에 이 같은 보안 문제를 알려주며 이를 인지하고 있는지, 향후 대응은 어떻게 할 것인지 물었다. 한국교통안전공단은 10월22일 밤 해당 접근 경로를 차단했고, 다음 날인 10월23일 답변서를 통해 “〈시사IN〉 측의 취재 문의 전까지 해당 문제를 인지하지 못하고 있었다. 차세대 자동차관리정보시스템을 개편한 6월9일 이후 이 같은 문제가 발생한 것으로 추정된다. 현재까지 〈시사IN〉이 발견한 경로를 통해 유출된 개인정보는 총 4건이다(취재기자 차량번호 조회 건수 제외)”라고 답했다. 그러나 이 같은 답변에도 허점이 있다. 〈시사IN〉이 추가 테스트한 차량(사내 다른 기자의 개인 차량)과 자문을 해준 기타 전문가들의 차량 조회 건수만 해도 5건 이상이기 때문이다.
보안 문제가 발생한 Car365와 관련된 더 상세한 내용은 〈시사IN〉 제947호(10월31일 발행 예정)에서 보도할 예정이다.
김동인 기자 astoria@sisain.co.kr
▶좋은 뉴스는 독자가 만듭니다 [시사IN 후원]
©시사IN, 무단전재 및 재배포 금지
Copyright © 시사IN. 무단전재 및 재배포 금지.