27일 감사원은 ‘개인정보보호 및 관리 실태’ 감사 결과를 이같이 발표했다.
감사원은 이번 감사를 위해 화이트해커 11명을 동원해 7개 공공시스템을 직접 모의해킹하며 취약점을 점검했으며 다크웹에 불법 유통되고 있는 공공부문 유출정보 106만건을 분석했다. 또 지난 개인정보보호위원회(개보위)의 업무 전반 역시 검토했다.
먼저, 감사원은 123개 공공시스템 중 개인정보 보유량이 많은 7개 시스템을 모의해킹 했다. 그 결과 7개 모두에서 권한이 부여되지 않은 타인의 정보를 조회할 수 있는 취약점이 있는 것으로 나타났다. 한 시스템에서는 중요정보가 암호화되지 않아 해커가 관리자권한만 획득한다면 무려 13만명의 주민등록번호를 탈취할 수 있는 것으로 확인됐다. 다른 시스템에선 입력값을 제한 없이 반복 시도할 수 있게 돼 있어, 계속 반복만 한다면 5000만명의 주민등록번호를 조회할 수 있는 것으로 나타났다. 단 감사원은 이들 시스템에 대해서는 공공기관의 정보공개에 대한 법률에 따라 비공개했다.
또 감사원은 외부 해킹에 대한 대비가 부족한 점도 지적했다. 2021~2024년의 공공부문 개인정보 유출을 살펴보면 유출 원인 중 95.5%가 외부 해킹에 따른 것이고 4.3%는 업무과실, 내부 직원의 고의 유출은 0.1%에 불과하다. 하지만 개인정보보호위원회는 2022년 방지대책을 수립하며 내부직원의 고의유출 통제에만 집중했고 외부 해킹에 대비한 대책은 부재했다는 평가다.
감사원은 퇴직자들의 접근 권한이 적시에 말소되지 않고, 운영자가 데이터베이스에 접속하고 조회한 기록 역시 누락된 곳이 많은 점도 지적했다. 교육행정시스템의 경우, 계약직 교원의 인사정보가 연계되지 않아 경기교육청에서 퇴직한 계약직 교원 3000명의 접속 권한이 유지되고 있었다.
또 감사원은 불법유통되는 개인정보의 확산과 추가 피해를 방지하기 위해 ‘털린 내 정보 찾기’ 서비스의 제공 정보를 확대하도록 통보했다. 현재 전체 인터넷 이용자는 2023년 기준 4775만명에 달하지만, 1.7%만 이 사이트를 이용하고 있는 상황이다. 뿐만 아니라 개인정보위는 유출정보가 관리기관의 과실인지 불분명할 경우 해당기관에 조치하도록 통보할 법적 근거가 없다며 대응에 소극적인 상황이다.
감사원은 개인정보위 위원장에 공공시스템 운영기관이 외부 해킹에 대비한 보안취약점 분석·평가를 전문기관을 통해 매년 실시하도록 하는 등 안전조치를 강화하는 방안을 마련하도록 통보했다.
|
![“벌써 한 대 팔려” 이마트 휴머노이드 매장…로봇 세상 현실로[르포]](https://image.edaily.co.kr/images/vision/files/NP/S/2026/02/PS26020400736t.jpg)
