2021∼2024년 공공부문 개인정보 유출의 95.5%는 외부 해킹…내부 고의 유출은 0.1%

다수 국민의 개인정보를 보유한 정부 공공시스템의 보안에 취약점이 있다는 감사 결과가 나왔습니다.

감사원은 27일 이 같은 내용을 골자로 한 개인정보 보호 및 관리 실태 감사 결과를 공개했습니다.

감사원에 따르면 2021∼2024년 공공부문에서 발생한 개인정보 유출의 95.5%는 외부 해킹에 의한 것이었으며, 내부 직원의 고의적 유출은 0.1%에 불과한 것으로 나타났습니다.

그럼에도 개인정보보호위원회는 2022년 공공부문 개인정보 유출 방지 대책을 수립하면서 외부 해킹에 대한 대응책은 충분히 마련하지 않았다고 감사원은 지적했습니다.

이에 감사원은 보안 취약점 여부를 확인하기 위해 공공부문에서 근무하는 화이트 해커 11명을 감사에 참여시켜 국가보안기술연구소·사이버작전사령부와 함께 모의 해킹을 진행했습니다.

대민서비스를 제공하는 123개 공공시스템 가운데 개인정보 보유량이 많은 7개 시스템을 해킹 대상으로 선정했고, 모의 해킹 결과 7개 시스템 모두에서 개인정보 탈취가 가능한 취약점이 확인됐습니다.

구체적으로 한 시스템에서는 접속에 필요한 중요 정보가 암호화되지 않아, 해커가 관리자 권한을 획득할 경우 최대 13만 명의 주민등록번호 탈취가 가능한 것으로 나타났습니다.

또 다른 시스템에서는 고객 조회 정보를 조작하는 방식으로 3천 명의 주민번호를 확인할 수 있었으며, 제한 없는 반복 시도를 통해 5천만 명의 주민번호 조회가 가능하거나, 비정상적 조회를 차단하지 않아 1천만 명의 회원 정보가 20분 만에 탈취될 수 있는 사례도 확인됐습니다.

감사원은 감사 기간 중 7개 시스템을 운영하는 기관에 취약 사항을 전달했고, 현재는 모든 보완 조치가 완료됐다고 설명했습니다.

이와 별도로 감사원은 경기도교육청 교육행정정보시스템과 4대 사회보험정보연계시스템, 사회보장정보시스템, 지역보건의료정보시스템 등에서 퇴직자에 대한 접근 권한 말소가 누락되는 등 관리 허점도 확인됐습니다.

아울러 개인정보 유출 대응 체계 전반에 대한 개선도 주문했습니다.

감사원은 2021∼2025년 개인정보 대량 유출 320건 가운데 306건(96%)에서 평균 81일, 최대 838일간 개인정보가 인터넷에 노출됐을 가능성이 있었지만, 관련 기관의 미신고로 유출 여부를 제때 확인하지 못한 사례가 다수 있었다고 지적했습니다.

이에 대해 감사원은 “해당 기관이 유출 여부를 확인하고 조사 결과를 제출하도록 하는 절차 마련에 개인정보위가 소극적이었다”며 개선 방안 마련을 통보했습니다.

이와 함께 개인정보가 유출되더라도 스팸이나 보이스피싱 등 범죄에 악용되지 않도록 휴대전화 번호 암호화 등 추가 대책을 마련하고, 다크웹에서 불법 유통되는 개인정보를 국민이 직접 확인할 수 있는 ‘털린 내 정보 찾기’ 서비스의 품질도 제고하라고 개인정보위에 요구했습니다.