감사원, 개인정보 보호 취약한 공공기관 점검

많은 국민들의 개인정보를 다루는 공공기관의 보안 시스템이 취약하다는 사실이 밝혀졌어요. 감사원이 모의해킹을 통해 공공기관의 개인정보 관리 실태를 점검한 결과 ‘5000만 명의 주민번호가 조회될 정도’로 관리가 허술했던 것. 감사원은 개인정보보호위원회(개인정보위)에 “개인정보 유출을 막기 위한 시스템을 마련하라”고 통보했어요.

공공시스템 모의해킹 배경: 감사원 “개인정보위, 일 제대로 하고 있는 거 맞아?”

2020년 개인정보 처리・보호를 위한 장관급 기관인 개인정보위가 출범했어요. 하지만 출범 이후인 2021년부터 2024년까지 427개 기관(중복 포함)에서 해킹으로 인한 개인정보 유출 사고가 발생했어요. 빠져나간 개인정보 건수만 해도 3500만 건에 달한다고 하는데요. 특히 공공부문에서의 개인정보 유출의 95.5%는 외부 해킹에 의해 발생했다고. 국민들이 “내 개인정보 어떡해”라며 걱정하자, 감사원이 공공부문의 개인정보 보안 시스템을 점검하기 위해 모의해킹 감사에 나선 거예요.

이번 감사는 2024년 11월부터 12월까지 진행됐고요. 공공부문에서 일하는 화이트해커 11명이 모의해킹에 참여했어요. 화이트해커는 합법적으로 컴퓨터 보안 취약점을 분석해 해킹을 방어하는 전문가인데요. 모의해킹 대상은 개인정보위가 관리하는 123개 공공시스템 중 개인정보 보유량이 많은 7개 시스템으로 선정했다고. 감사원은 해킹 방법 확산을 우려해 구체적인 공공기관 이름과 감사 내용은 공개하지 않았어요.

공공시스템 모의해킹 결과: 감사 결과 어떤 내용이 나왔어?

27일 감사원이 발표한 감사 결과에 따르면 7개 시스템에서 모두 개인정보가 취약하게 관리되고 있었어요. 감사 결과가 어땠냐면: 

• 한 공공기관 시스템에서는 큰 어려움 없이 약 5000만 명의 주민번호 등을 확인할 수 있었다고 해요. 사실상 전 국민의 주민번호 탈취가 가능했던 것.
• 비정상적인 조회 시도를 차단하지 않아 1000만 명의 회원 정보를 20분 안에 탈취할 수 있었다고.
• 퇴직한 직원이 공공시스템에 계속 접속할 수 있는 문제도 확인됐어요. 경기교육청에서 퇴직한 계약직 교원 3000명의 공공시스템 접근 권한을 말소하지 않아 교육행정시스템에 계속 접속할 수 있었던 것.

공공시스템 모의해킹 결론: 개인정보위가 적극적으로 나서야 해!

모의해킹한 시스템 7개는 모두 보완을 마친 상황인데요. 감사원은 앞으로 개인정보 유출 사고가 발생했을 때 해당 기관이 바로 유출 여부를 확인하고 조사 결과를 제출할 수 있도록 개인정보위가 적극적으로 대처해야 한다고 말했어요. 또 감사원은 개인정보가 유출되더라도 스팸·보이스피싱 등 추가적인 피해를 막을 수 있도록 ‘휴대폰 번호 암호화’나 ‘털린 내 정보 찾기’ 서비스 품질도 높여야 한다고 주문했어요.