[단독]‘국세청 연말정산’ 나흘동안 보안 허점… 개인정보 다수 유출될뻔
김기윤 기자
입력 2022-01-21 03:00 수정 2022-01-21 05:54
인증수단 추가과정서 ‘설계오류’로 7개 민간인증서 사용때 문제 발생
전문가들 신고로 뒤늦게 오류 수정… 국세청, 개인정보 유출 피해 조사
“15,16일엔 타인 로그인 발견안돼”
20일 동아일보 취재를 종합하면 ‘국세청 홈택스 연말정산 간소화’ 홈페이지는 15일 오전 6시 문을 열었을 때부터 보안에 허점이 있었다고 한다. 원칙대로라면 로그인하려는 본인의 인증서로만 본인 인증이 돼야 하는데, A 씨의 이름과 주민번호를 입력한 뒤 B 씨의 인증서를 사용해 인증해도 로그인이 됐던 것이다. 이 문제는 카카오톡과 통신사 등 7가지 민간 간편인증서를 사용할 때만 발생했으며, 공동·금융인증서로 로그인할 때는 문제가 생기지 않았다.
연말정산 홈페이지에 접속하던 개인정보 전문가들이 18일 오후 6시 이 같은 오류를 발견하고 국세청에 신고했다. 전문가들은 “동의를 구하고 타인 명의로 시험해 봤는데 정말 로그인이 됐다” “문제가 심각하다”며 대응을 촉구했다. 국세청은 이날 오후 8∼11시에 이용자 접속을 전면 차단하고 홈페이지의 문제점을 고쳤다.
이번 보안 사고는 국세청이 연말정산 간소화 홈페이지에 인증 수단을 추가하는 과정에서 프로그램 설계 오류로 발생한 것으로 나타났다.
국세청 관계자는 “이용자 편의를 위해 별도 가입 없이 본인 인증만 하면 로그인할 수 있는 임시 홈페이지를 만들었는데, 여기에 간편인증서를 추가하는 과정에서 오류가 생겼다”고 설명했다. 지난해 새로 도입한 민간 간편인증 수단 5개에 올해 2개를 추가했는데, 이 과정에서 이름·주민번호와 간편인증서 소유자의 일치 여부를 검증하는 알고리즘이 생략됐다는 것이다.
국세청은 실제 개인정보 유출 피해가 있었는지를 조사 중이다. 국세청 관계자는 20일 “(지금까지 검증이 진행된) 15, 16일의 자체 자료에서는 타인 계정 로그인 사례가 발견되지 않았다”고 밝혔다.
소득·세액공제 자료에는 민감한 개인정보가 다수 포함돼 있다. 수년 동안의 건강보험·국민연금 납부내역을 통해 소득 및 소득 추이를 추정할 수 있고, 신용카드와 현금영수증 사용액, 정당 후원금 및 종교단체 기부금 명세 등도 담겨 있다. 가족 중 누가 어느 병원에 갔는지도 알 수 있다.
개인정보 관련 사건을 다루는 손호용 변호사는 “국민의 내밀한 정보가 고스란히 유출될 뻔한 사고”라며 “정부, 공공기관은 홈페이지를 열기 전 충분한 검수를 하고 보안 인증 시스템을 강화해야 한다”고 지적했다.
김기윤 기자 pep@donga.com
전문가들 신고로 뒤늦게 오류 수정… 국세청, 개인정보 유출 피해 조사
“15,16일엔 타인 로그인 발견안돼”
뉴스1
국세청의 연말정산 간소화 홈페이지가 설계 문제 탓에 15일부터 나흘 동안 이름과 주민등록번호만 알면 타인의 소득·세액공제 자료를 통째로 들여다볼 수 있었던 것으로 밝혀졌다. 소득공제 자료에는 가족관계와 병원 방문기록, 신용카드 사용액 등 민감한 개인정보가 다수 포함돼 있다. 국세청은 18일 오후 이런 문제점을 파악하고 홈페이지를 정비했으며, 개인정보 유출 피해가 실제로 발생했는지를 점검하고 있다.20일 동아일보 취재를 종합하면 ‘국세청 홈택스 연말정산 간소화’ 홈페이지는 15일 오전 6시 문을 열었을 때부터 보안에 허점이 있었다고 한다. 원칙대로라면 로그인하려는 본인의 인증서로만 본인 인증이 돼야 하는데, A 씨의 이름과 주민번호를 입력한 뒤 B 씨의 인증서를 사용해 인증해도 로그인이 됐던 것이다. 이 문제는 카카오톡과 통신사 등 7가지 민간 간편인증서를 사용할 때만 발생했으며, 공동·금융인증서로 로그인할 때는 문제가 생기지 않았다.
연말정산 홈페이지에 접속하던 개인정보 전문가들이 18일 오후 6시 이 같은 오류를 발견하고 국세청에 신고했다. 전문가들은 “동의를 구하고 타인 명의로 시험해 봤는데 정말 로그인이 됐다” “문제가 심각하다”며 대응을 촉구했다. 국세청은 이날 오후 8∼11시에 이용자 접속을 전면 차단하고 홈페이지의 문제점을 고쳤다.
이번 보안 사고는 국세청이 연말정산 간소화 홈페이지에 인증 수단을 추가하는 과정에서 프로그램 설계 오류로 발생한 것으로 나타났다.
국세청 관계자는 “이용자 편의를 위해 별도 가입 없이 본인 인증만 하면 로그인할 수 있는 임시 홈페이지를 만들었는데, 여기에 간편인증서를 추가하는 과정에서 오류가 생겼다”고 설명했다. 지난해 새로 도입한 민간 간편인증 수단 5개에 올해 2개를 추가했는데, 이 과정에서 이름·주민번호와 간편인증서 소유자의 일치 여부를 검증하는 알고리즘이 생략됐다는 것이다.
국세청은 실제 개인정보 유출 피해가 있었는지를 조사 중이다. 국세청 관계자는 20일 “(지금까지 검증이 진행된) 15, 16일의 자체 자료에서는 타인 계정 로그인 사례가 발견되지 않았다”고 밝혔다.
소득·세액공제 자료에는 민감한 개인정보가 다수 포함돼 있다. 수년 동안의 건강보험·국민연금 납부내역을 통해 소득 및 소득 추이를 추정할 수 있고, 신용카드와 현금영수증 사용액, 정당 후원금 및 종교단체 기부금 명세 등도 담겨 있다. 가족 중 누가 어느 병원에 갔는지도 알 수 있다.
개인정보 관련 사건을 다루는 손호용 변호사는 “국민의 내밀한 정보가 고스란히 유출될 뻔한 사고”라며 “정부, 공공기관은 홈페이지를 열기 전 충분한 검수를 하고 보안 인증 시스템을 강화해야 한다”고 지적했다.
김기윤 기자 pep@donga.com
비즈N 탑기사
- 김숙 “내 건물서 거주+월세 수입 생활이 로망”
- “20억 받으면서 봉사라고?”…홍명보 감독 발언에 누리꾼 ‘부글’
- 세계적 유명 모델이 왜 삼성역·편의점에…“사랑해요 서울” 인증샷
- “사람 치아 나왔다” 5000원짜리 고기 월병 먹던 中여성 ‘경악’
- “모자로 안가려지네”…박보영, 청순한 미모로 힐링 여행
- 엄마 편의점 간 사이 ‘탕’…차에 둔 권총 만진 8살 사망
- 8시간 후 자수한 음주 뺑소니 가해자…한문철 “괘씸죄 적용해야”
- 교보생명, 광화문글판 가을편 새단장…윤동주 ‘자화상’
- 힐러리 “내가 못 깬 유리천장, 해리스가 깨뜨릴 것”
- ‘SNS 적극 활동’ 고현정…“너무 자주 올려 지겨우시실까봐 걱정”
- 14조 들인 에틸렌 생산 설비 착착… “신기술로 中 저가공세 깬다”
- K방산 영업익 200%대 증가 예고… 실적잔치 기대감
- 기업 실적 ‘최악’… 10곳중 4곳, 영업이익으로 이자도 못내
- ‘공사비 갈등’ 둔촌주공 재건축 25일 공사 재개.. 조합, 210억 증액 수용
- 넷플릭스發 ‘제작비 인플레’… 흥행작 제작사도 “쇼트폼 갈아탈 판”
- 올해 韓 경제 2.6% 성장 여부 안갯속…정부 “불확실성 커 수정 불가피”
- 금감원 압박에… 은행 대출규정 석달새 21회 강화
- 합병 앞둔 SK이노, 계열사 사장 3명 교체… 기술형 리더 발탁
- ‘美 공급망 재편 수혜’ 인도 주식에 올해 국내 자금 1.2조 몰려
- “롯데百의 미래 ‘타임빌라스’에 7조 투자, 국내 쇼핑몰 1위로”