감사원의 개인정보 보호및 관리실태 감사 결과 정부가 개인정보 보호 강화를 위해 지정한 공공부문 핵심 시스템들이 외부 해킹에 사실상 무방비 상태였던 것으로 감사 결과 드러났다. 감사원은 123개 집중관리 대상 시스템 가운데 표본으로 선정한 7개 시스템을 모의해킹한 결과, 모든 시스템에서 개인정보 유출로 이어질 수 있는 보안 취약점이 발견됐다고 밝혔다.

<개인정보 유출 신고 현황, 출처: 감사원 '개인정보 보호 및 관리실태' 감사 결과보고서>

[블랙엣지뉴스=강호림 기자] 감사원은 개인정보보호위원회 출범 이후에도 외부 해킹에 의한 대규모 개인정보 유출 사고가 반복되고, 유출 정보가 다크웹을 통해 불법 유통되는 사례가 지속적으로 증가하고 있다는 문제의식에 따라 지난해 11월부터 12월까지 개인정보 보호 전반에 대한 감사를 실시했다. 이번 감사에서는 공공부문에서 근무하는 화이트 해커 11명이 참여해 실제 해킹과 동일한 방식의 모의해킹을 수행했다.

정부는 지난 2022년 ‘공공부문 개인정보 유출 방지 대책’을 통해 개인정보를 대량 보유한 123개 시스템을 집중관리 대상으로 지정하고 관리 강화를 추진해 왔다. 그러나 감사 결과, 이 대책은 내부 직원의 고의 유출 통제에만 초점이 맞춰져 있었을 뿐, 실제 유출의 대부분을 차지하는 외부 해킹에 대한 체계적인 보안 취약점 점검 방안은 마련되지 않은 것으로 나타났다. 

<공공기관 개인정보 유출 원인별 신고 현황, 출처: 감사원 '개인정보 보호 및 관리실태' 감사 결과보고서>

감사원이 집계한 자료에 따르면 2021년부터 2024년까지 발생한 공공부문 개인정보 유출의 95.5%는 외부 해킹에 의한 것이었으며, 내부 직원의 고의 유출은 0.1%에 불과했다. 그럼에도 불구하고 개인정보위는 공공시스템에 대해 주요정보통신기반시설이나 전자금융기반시설처럼 정기적인 취약점 분석·평가를 의무화하지 않았다. 

이번 모의해킹에서는 7개 시스템 모두에서 권한이 없는 사용자가 타인의 개인정보를 조회할 수 있는 취약점이 발견됐다. 일부 시스템에서는 중요 접속 정보가 암호화되지 않아 관리자 권한을 탈취할 경우 수십만 명의 주민등록번호가 유출될 수 있는 상태였고, 다른 시스템에서는 사용자 요청의 정당성을 검증하지 않아 조회 정보 조작을 통해 개인정보 접근이 가능했다. 입력값 검증이 미흡해 반복 시도로 수천만 명의 개인정보를 조회할 수 있는 사례와, 시스템 개편 이후 재점검을 하지 않아 단시간 내 대규모 회원정보 탈취가 가능한 사례도 확인됐다. 

감사원은 개인정보보호위원회 위원장에게 공공시스템 운영기관이 외부 해킹에 대비한 보안 취약점 분석·평가를 전문기관을 통해 매년 실시하도록 하는 등 안전조치 강화 방안을 마련하라고 통보했다. 모의해킹 과정에서 발견된 취약점은 감사 기간 중 시정이 완료됐으나, 감사원은 유사 사례 재발 방지를 위해 관련 내용을 공식 통보했다고 밝혔다. 

한편, 감사원은 개인정보 탈취 방법 등이 상세히 기재된 모의해킹 관련 본문 내용은 비공개하되, 국민과 개인정보 취급 기관의 경각심을 높이기 위해 시스템 명과 구체적 해킹 방법을 삭제한 형태로 감사결과를 공개하기로 했다. 

감사·내부통제 전문지 BLACK EDGE / 강호림 기자