`연말정산 간소화` 보안에 구멍…800여명 개인정보 샜다
by이명철 기자
2022.01.27 12:00:00
인증 불일치에도 로그인…타인 계정 들어가 조회
소득·의료비·부양가족 등 민감한 개인정보 담겨있어
국세청 “납세자에 사과, 개인정보보호검증 TF 구성”
[세종=이데일리 이명철 기자] 연말정산 간소화 서비스 로그인 과정에서 발생한 보안 오류로 800명 이상의 개인정보가 유출된 것으로 나타났다. 연말정산 서비스에는 소득이나 의료비 등 민감한 정보가 담겨있어 피해 대책 마련이 시급한 상황이다. 국세청은 개인정보가 유출 당사자들에게 피해 사실을 알리는 한편 구제 절차를 지원할 예정이다.
27일 국세청에 따르면 연말정산 간소화 시스템에서 이용자 인적사항이 일치하지 않아도 로그인이 되는 문제점이 발생했다. 카카오톡·통신사패스·네이버 등 민간인증서를 통한 간편 인증 시 이용자 인적사항과 인증시 인적사항의 일치 여부를 검증하는 기능이 누락됐기 때문이다.
예를 들어 A씨가 다른 사람인 B씨의 주민번호 등 인적사항을 입력하고 본인명의로 간편인증을 받았다면 B씨의 연말정산 자료를 조회할 수 있게 된 것이다.
국세청은 연말정산 간소화 시스템 로그인을 위한 민간인증서를 기존 5종(카카오톡·통신사패스·페이코·삼성패스·KB국민은행)에서 네이버·신한은행을 추가할 때 본인 인증을 위한 인증기관 연결용 프로그램에 결함이 발생한 것으로 확인했다.
국세청은 프로그램 오류 발생을 확인한 18일 오후 8시 관련 민간인증 서비스를 즉시 차단했다. 이후 오후 11시 이용자 인적사항과 인증 시 인적사항이 동일한 경우에만 연말정산 간소화 서비스 이용이 가능하도록 프로그램 결함을 개선해 정상 서비스를 재개했다.
하지만 올해 연말정산 간소화 시스템 오픈한 후 로그인 오류로 타인에 의해 자료가 조회된 821명을 확인했다. 또 시스템 오픈 이전에도 유사 사례가 있는지 확인 중이다. 연말정산 시스템에는 개인의 소득 뿐 아니라 부양가족 등 가족관계, 의료비 지출 같은 병원 방문 기록, 신용카드 사용 금액, 주택자금 대출 등 민감한 개인정보가 담겨 보안 유지 필요성이 요구된다.
국세청은 타인에 의해 자료가 조회된 개인에 대해 개인정보보호법 제34조와 표준개인정보보호지침 제26조에 따라 5일 이내 서면·전자우편·팩스·전화·문자 등으로 개별 통지할 예정이다.
개별통지시 사과문과 개인정보 노출 시점, 피해 최소화를 위한 조치 방법, 피해 구제절차 등을 안내키로 했다.
개인정보 유출에 대해서는 피해자만 신고를 할 수 있기 때문에 국세청은 신고에 필요한 사항을 안내할 예정이다. 국세청은 누가 타인의 자료를 조회했는지 여부에 대해서는 밝히지 않았지만 간편 인증 시 본인 명의로 인증을 한 만큼 충분히 추적 가능할 것으로 보인다.
| 연말정산 간소화서비스 이용자 로그인 절차. (이미지=국세청) |
|
국세청은 이번 사태와 관련해 아예 인증 요청 단계에서 로그인 정보를 변경할 수 없도록 보완 조치하고 로그인 시 본인인증 결과를 체계적으로 사후관리 하도록 시스템을 개선할 예정이다. 외부전문가가 참여하는 개인정보보호검증 태스크포스(TF)를 구성해 전산시스템 전반에 대한 개인정보 보호·관리 실태를 엄격히 점검할 예정이다. 재발방지를 위한 개선 대책도 마련키로 했다.
프로그램 개발과 테스트 과정에서 오류 검증을 강화하고 개인정보 보호 조치 적정성을 진단하는 방안을 강구해 즉시 시행할 방침이다.
국세청 관계자는 “납세자 개인정보 보호를 위해 최우선으로 노력했으나 이번 사건이 발생한 데 대해 납세자들에게 진심으로 사과 드린다”며 “심각성을 깊이 인식하고 앞으로 이런 일이 재발하지 않도록 각고의 노력을 기울이겠다”고 약속했다.