[단독] "마라톤 나갔다가 봉변"… 1만 명 참가 대회서 개인정보 유출 논란

사진 조회 사이트에 참가자 전화번호 노출
사이트 운영 위탁업체, 3일 관계당국에 신고
"참가비 6만, 7만 원 냈는데 관리 부실" 분노
개별 통지 아직… 주최사 측 "외부 업체 소관"

지난달 29일 서울 종로구 광화문광장에서 열린 서울 K-마라톤 대회에서 참가자들이 힘차게 출발하고 있다. 뉴시스

최근 서울에서 열린 대규모 마라톤 대회에서 참가자들의 개인정보가 무방비로 노출된 정황이 드러나 논란이 일고 있다. 뒤늦게 관계당국에 신고가 접수됐지만, 대회 주최 측은 위탁 업체 소관이라며 참가자들에게 정보 유출 통지조차 하지 않았다.

7일 한국일보 취재를 종합하면, 지난달 29일 열린 '서울 K-마라톤 대회' 현장 사진을 제공하는 온라인 사이트에서 개인정보 관리 취약점이 발견됐다. 한국스포츠관광마케팅협회가 주최하고 문화체육관광부 등이 후원한 이 행사에는 약 1만 명이 참가했다.

사이트에 접속해 참가자 배번호(배 번호표)를 입력한 뒤 휴대폰 인증 절차를 거치면 개인 사진과 기록을 확인할 수 있다. 그런데 이 사이트의 웹브라우저 개발자 도구로 들어갈 경우 본인 인증 없이 배번호만 쳐도 참가자 이름과 휴대폰 번호까지 전부 그대로 노출됐다. 개인정보를 가리는 마스킹 처리나 정보 보안을 위한 암호화 조치도 적용되지 않은 상태였다.

문제는 키보드 단축키 F12만 누르면 누구나 개발자 도구를 열 수 있다는 점이다. 배번호가 단순한 숫자이고 공개된 정보라는 점을 고려하면 참가자 전체의 개인정보를 수집하는 것도 얼마든지 가능하다. 한 보안 전문가는 "해킹 기술조차 필요 없는, 전형적인 관리 부실"이라며 "기본적인 접근 통제도 없어 사실상 데이터베이스가 통째로 털릴 수 있는 구조"라고 지적했다.

대회 직후 이런 문제를 발견한 참가자들을 중심으로 항의가 잇따르자, 해당 사이트는 이달 2일 보안 점검 안내문을 올린 데 이어 7일 현재 보안 점검이 완료됐다고 공지한 상태다. 개인정보 유출을 우려하는 문의에는 "유출은 없었다"고 답했다. 그러나 실제로는 사이트 측이 3일 개인정보보호위원회(개보위)에 유출 사실을 직접 신고한 것으로 확인됐다.

참가자들에게 개별 통지를 하지 않은 점도 문제다. 개인정보보호법에 따르면 개인정보 처리자는 유출 사실을 인지한 후 72시간 이내에 개별 정보 주체에게 통지해야 한다.

대회에 참가한 조모(34)씨는 "개인정보가 각종 범죄에 악용돼 민감도가 높아진 상황인데, 수많은 러닝 인구가 참가하는 대회에서 관리가 부실한 건 큰 문제"라며 "참가비도 6만, 7만 원씩 받으면서 최소한의 보안과 운영 수준은 갖춰야 하는 것 아니냐"고 비판했다. 참가자들 사이에선 개보위 조사 결과에 따라 공동 대응에 나서려는 움직임도 있는 것으로 파악됐다.

'서울 K-마라톤 대회' 사진 제공 온라인 사이트에 올라온 보안 점검 완료 공지. 온라인 사이트 캡처

대회 주최사는 사진 제공 사이트 구축과 관리를 외부 업체에 맡겼기 때문에 자체적인 책임은 없다는 입장이다. 주최사 관계자는 "사진 조회 서비스를 위해 외부 업체에 개인정보를 제공했지만 시스템 운영은 업체 소관"이라며 "주최 측은 별도로 보안 지침에 따라 개인정보를 관리하고 있다"고 해명했다. 하지만 해당 주최사는 지난해 대회 운영 과정에서도 개인정보 관리 미흡으로 시정 조치를 받은 전력이 있는 것으로 확인됐다.

염흥열 순천향대 정보보호학과 교수는 "일차적으로 개인정보 처리자가 안전성 조치를 이행할 의무가 있다"며 "수탁자에 의해 유출 사고가 발생하더라도 위탁자에게 책임이 있기 때문에 소규모 개인정보라도 수집 시 관리를 철저히 해야 한다"고 지적했다.

권정현 기자 hhhy@hankookilbo.com