감사원 모의해킹 결과, 7개 시스템 전부 뚫려
입력값 검증 부실로 최대 5000만명 정보 조회 가능
스페셜경제=정미송 기자 | 정부가 개인정보 보호를 강화하기 위해 운영 중인 공공시스템이 여전히 해킹에 취약한 것으로 드러났다. 감사원이 직접 화이트 해커를 동원해 실시한 모의해킹 결과, 7개 공공시스템 모두에서 권한이 없는 사용자의 개인정보 접근이 가능하다는 점이 확인됐다.
특히 일부 시스템은 수백만 명의 주민등록번호를 탈취하거나 무단 조회할 수 있는 심각한 취약점이 존재했다.
감사원이 27일 발표한 '개인정보 보호 및 관리실태' 감사보고서에 따르면, 화이트 해커 11명을 동원해 정부가 직접 지정한 123개 집중관리시스템 중 7개 시스템에 대해 모의해킹을 실시한 결과, 전 시스템에서 타인의 개인정보 조회가 가능한 것으로 나타났다.
이 중 한 시스템은 관리자 권한 확보 시 암호화되지 않은 중요정보를 통해 최대 13만 명의 주민등록번호가 탈취될 수 있었고, 다른 시스템은 입력값 검증이 부실해 무제한 반복 시도만으로 5000만 명의 개인정보를 열람할 수 있는 구조였다. 이는 사실상 외부 해커가 전 국민의 정보에 접근할 수 있는 ‘빗장 풀린 창고’에 가까운 수준이라는 평가다.
개인정보위는 2022년 송파살인사건 등을 계기로 개인정보 안전조치를 강화하겠다고 발표하며, 대량 정보를 보유한 123개 시스템을 집중관리 대상으로 지정한 바 있다. 그러나 감사 결과, 내부 직원의 고의 유출을 막기 위한 권한 관리만 강화했을 뿐, 외부 해킹이나 시스템 취약점에 대한 사전 점검은 사실상 공백 상태였다.
퇴직자 접근권한을 제때 말소하지 않는 등 기본적인 보안조치도 허술했다. 경기교육청의 경우, 계약직 교원 인사정보가 시스템과 연동되지 않아 퇴직 교원 3,000명의 시스템 접속 권한이 여전히 살아 있는 상황이었다.
다크웹 등에서 불법 유통되고 있는 개인정보에 대해 정부가 운영 중인 '털린 내 정보 찾기' 서비스도 실효성에 의문이 제기됐다. 한국인터넷진흥원이 유출정보를 수집해 제공하고 있지만, 이메일 도메인 없이 아이디와 비밀번호만 제공하는 구조로 되어 있어, 사용자가 어떤 웹사이트에서 정보가 유출됐는지를 파악하거나, 비밀번호를 변경하는 데 실질적인 도움이 되지 않는다는 지적이다.
또한, 개인정보 유출이 1,000명 이상인 경우 주기적으로 점검하고 대응한다는 방침이 제대로 이행되지 않았다. 2023년 기준으로 탐지 대상 웹사이트 6만2,000개 중 99%가 계획된 탐지주기를 지키지 않았고, 대량 노출 발생 시 주기를 단축해야 하는 1,595개 웹사이트 중 88%는 여전히 원래 주기로 운영되고 있었다.
감사원은 개인정보위에 ▲불법 유통 개인정보 피해 방지를 위한 유출 정보 제공 범위 확대 ▲'털린 내 정보 찾기' 기능 개선 ▲1000명 이상 유출시 개인정보처리자의 확인 및 보고 의무 부여 ▲범죄 악용 가능성 높은 휴대전화번호 암호화 등을 포함한 종합 개선 대책 마련을 통보했다.
공공시스템 모의해킹 결과 충격…전 국민 개인정보 여전히 ‘무방비’ - 스페셜경제
스페셜경제=정미송 기자 | 정부가 개인정보 보호를 강화하기 위해 운영 중인 공공시스템이 여전히 해킹에 취약한 것으로 드러났다. 감사원이 직접 화이트 해커를 동원해
www.speconomy.com
'시사' 카테고리의 다른 글
| 국회, 오늘 반도체특별법 포함 비쟁점 법안 90여건 처리 합의 (0) | 2026.01.29 |
|---|---|
| 신협 가상계좌, 불법 도박자금 유통 통로로…경찰, 원주 지점 압수수색 (0) | 2026.01.28 |
| 이해찬 전 총리 빈소에 정치권 조문 행렬 이어져 (0) | 2026.01.28 |
| 알리익스프레스코리아 해킹 의혹, 경찰 내사 착수…수십억대 셀러 피해 정황 (0) | 2026.01.27 |
| 오바마·클린턴 ICE 총격 사망 비판하며 트럼프 행정부 규탄 (0) | 2026.01.27 |