5000만 주민번호 ‘모의해킹’서 털렸다

감사원, 개인정보 보호실태 감사
조사 공공시스템 7곳 보안 취약
취약점 인지하고도 재점검 외면
퇴직자 접근권한 방치 곳곳 ‘구멍’

공공기관이 이용하는 전산 시스템의 개인정보 보호 체계가 허술해 해커가 한 곳만 뚫어도 사실상 전 국민의 주민등록번호를 비롯한 각종 개인정보를 한눈에 들여다볼 수 있는 것으로 드러났다.

27일 감사원에 따르면 개인정보보호위원회(개보위)는 개인정보 유출 증가로 인한 국민 피해가 커지자 2022년 7월 ‘공공부문 개인정보 유출 방지대책’을 마련했다. 공공부문 개인정보 처리 시스템 1만6000개 중 개인정보 보유량이 많은 123개를 집중 관리가 필요한 ‘공공시스템’으로 지정했다. 그런데 감사원이 화이트해커 11명을 동원해 개인정보 보유량이 많은 공공시스템 상위 7곳을 모의 해킹해 보니 이들 시스템 전부 보안이 허술하기 짝이 없었다.

한 공공망은 개인정보 조회를 위한 입력값 검증 과정이 미흡했다. 해커가 무제한 반복 시도로 보안체계를 뚫으면 5000만명의 주민번호를 들여다볼 수 있었다. 해커가 작심하고 이 공공망을 파고들면 전 국민 주민번호가 털릴 수 있었던 것이다. 다른 공공망은 시스템 개편을 마치기 전 취약점을 점검해놓고선 개통 때 재점검을 하지 않았다. 이 때문에 해커의 접근을 차단할 수 없었다. 해커는 1000만명의 회원정보를 20분 안에 탈취할 수 있었다.

또 다른 공공망은 시스템 접속에 필요한 중요 정보가 암호화돼 있지 않았다. 그 탓에 해커가 관리자 권한을 얻어 13만명의 주민번호를 가로챌 수 있었다. 이용자의 민원 제기가 정당한지를 검증하지 않아 3000명의 주민번호를 노출한 공공망도 있었다.

퇴직자의 접근 권한을 살려뒀던 공공망들도 있다. 경기도교육청 교육행정정보시스템은 퇴직한 계약제 교원 3731명의 접근 권한이 살아 있는데도 방치했다. 이 시스템은 도교육청은 물론 관할 교육지원청, 각급 학교 소속 14만명이 이용한다. 도교육청을 비롯한 운영기관들은 계약제 교원을 시스템상 퇴직 처리해도 개인정보 취급 권한이 말소되지 않는 오류가 있었지만 이를 몰랐다.

고용노동부와 근로복지공단, 국민연금공단 등이 이용하는 ‘4대 사회보험정보 연계시스템’, 서울 송파구보건소와 전남 완도 및 충남 청양 보건의료원 등이 활용하는 ‘지역보건의료정보시스템’도 퇴직자의 접근이 가능했다. 서울 노원·강서구와 인천 부평구 등이 이용하는 ‘사회보장정보시스템’도 사정은 마찬가지였다. 개보위가 2023년 이들 시스템에 대해 인사정보 연계 여부만 살피고 실제 퇴직자 접근 권한이 말소됐는지는 확인하지 않았다고 감사원은 지적했다. 감사원은 감사 지적사항들에 대한 개선 방안을 마련하라고 개보위에 통보했다.

사이버 공격은 매년 증가 추세다. 과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면 사이버 침해사고 신고 건수는 2024년 1887건에서 지난해 2383건으로 26.3% 늘었다. 서버해킹 신고가 1053건(44.2%)으로 가장 많았고, 디도스 공격(24.7%), 악성코드(14.9%) 등 순이었다.

정부는 올해 사이버 위협 대상으로 인공지능(AI) 서비스와 클라우드, 서비스 종료(EOS) 시스템, 유출 개인정보를 선정했다. 구체적으로 지난해 SK텔레콤과 KT, 쿠팡 등에서 유출된 개인정보가 보이스피싱이나 스미싱 등 2차 공격에 악용될 가능성을 제기했다. AI로 고도화한 딥페이크(이미지·영상·음성 등 허위 조작물) 사기가 확대되고, 챗GPT나 제미나이 등 AI 서비스를 겨냥한 사이버 공격도 본격화할 것으로 전망했다.

배민영·이정한 기자