전 국민 주민번호 쉽게 털렸다…공공시스템 모의해킹 충격 결과
감사원은 27일 이런 내용의 ‘개인정보 보호 및 관리 실태’ 감사결과를 공개했다. 실지감사는 2024년 11~12월 진행됐다. 모의해킹은 감사원이 국가보안기술연구소·사이버작전사령부와 함께 진행했다. 모의해킹은 개인정보보호위원회가 지정한 123개 집중 관리 공공시스템 중 7곳을 대상으로 했다. 대민서비스를 제공하면서 개인정보 보유량이 많은 곳을 중심으로 뽑았다.
모의해킹 결과 한 시스템에선 약 5000만명의 주민번호 등이 조회가 가능했다고 감사원은 밝혔다. 사실상 전 국민 주민번호가 탈취 가능했던 것이다. 또 다른 시스템에선 20분 이내에 1000만명의 회원 정보를 탈취할 수 있었다. 시스템 접속에 필요한 중요 정보가 암호화되지 않아 해커가 관리자 권한을 획득하면 13만명의 주민번호를 탈취할 수 있는 공공시스템도 확인됐다고 감사원은 설명했다. 모의해킹을 시도한 7곳 모두 보안취약점이 발견돼 뚫린 것이다.
감사원은 보안취약점이 발견된 7개 공공시스템 운영 기관장에게 이런 사실을 전달했다. 시정은 완료됐다고 감사원은 밝혔다. 다만 감사원은 7개 공공시스템이 어디인지, 어떤 방식으로 모의해킹을 했는지는 공개하지 않기로 결정했다. 감사원 관계자는 “공개할 경우 해커들의 공격 대상이 될 수 있어 피해가 더 커질 수 있다”고 설명했다.
개인정보보호위가 운영하는 ‘털린 내 정보 찾기’ 서비스의 사용이 미비하다는 점도 감사원은 지적했다. 2023년 기준으로 전체 인터넷 이용자 중에 1.7%만 이 서비스에 방문한 것으로 나타났다. 또 개인정보가 유출됐을 경우 2차 피해를 막기 위해 개인정보위가 해당 사이트에 아이디와 비밀번호를 초기화하도록 하는 등의 적극적인 조치를 해야 하지만, 개인정보위는 법적 근거가 없다며 대응에 소극적이라고 감사원은 설명했다.
윤성민([email protected])