연말정산 보안 허점… 나흘간 821명 개인정보 타인이 조회
김기윤 기자
입력 2022-01-28 03:00 수정 2022-01-28 04:50
국세청, 예상보다 많이 나오자 당혹
“무단 로그인 70~80%는 가족 추정, 검증절차 강화해 재발 방지”
주민번호 알면 민감한 정보 조회… 건보-소득자료 내역 등 유출 가능성
국세청 연말정산 간소화 홈페이지의 보안 허점으로 15일부터 나흘 동안 800명 이상의 개인정보가 타인에게 노출된 것으로 나타났다. 국세청은 보도자료를 내고 민간 간편인증 업체 7곳의 자료와 자체 서버 등을 분석한 결과 총 821명의 소득·세액공제 자료를 타인이 조회한 것으로 나타났다고 27일 밝혔다.
연말정산 간소화 홈페이지는 15일 오전 6시 첫 오픈 때부터 보안에 허점이 있었다. 원칙대로라면 로그인하려는 본인의 인증서로만 본인 인증이 돼야 하는데, A 씨의 이름과 주민등록번호를 입력한 뒤 B 씨의 인증서를 사용해 인증해도 로그인이 됐던 것. 특정인의 이름과 주민번호만 알면 수년 치 소득·세액공제 자료를 열람할 수 있었던 것이다. 이 문제는 7가지 민간 간편인증서(카카오, 네이버, 삼성패스, 통신사패스, 페이코, 신한인증서, KB모바일인증서)를 사용할 때만 발생했으며 공동·금융인증서로 로그인할 때는 문제가 생기지 않았다.
당시 연말정산 홈페이지에 접속하던 개인정보 전문가들이 18일 오후 6시 오류를 발견하고 국세청에 신고했다. 국세청은 18일 오후 8∼11시 이용자 접속을 전면 차단하고 오류를 수정했다.
국세청 관계자는 “인증기관 연결용 프로그램에 결함이 있었다”며 “이용자 인적사항과 인증기관으로부터 받은 인적사항의 일치 여부를 검증하지 못하는 사례가 발생했다”고 설명했다.
연말정산 간소화는 매년 1800만 명의 직장인이 이용하는 대표적인 정부 서비스다 보니 상당수 직장인들이 불안감을 감추지 못했다.
더구나 연말정산 페이지에서 열람 가능한 소득·세액공제 자료에는 민감한 개인정보가 다수 포함돼 있다. 수년 동안의 건강보험·국민연금 납부 내역을 통해 소득 및 소득 추이를 추정할 수 있고, 신용카드와 현금영수증 사용액, 정당 후원금 및 종교단체 기부금 명세 등도 담겨 있다.
국세청은 당시 “자체 자료를 검증한 결과 15, 16일 자료에서는 타인 계정 로그인 사례가 발견되지 않았다”고 했지만 실제로는 이 기간에도 수백 건의 타인 계정 로그인 사례가 있었던 것으로 알려졌다. 국세청 관계자는 다만 “무단 로그인 사례 중 70∼80%는 가족 간 열람인 것으로 추정하고 있다”며 “보안 허점을 알고 동의를 받은 타인의 명의로 시험 삼아 접속한 사례도 있다”고 했다. 국세청은 당사자에게 정보 열람기록 등을 문자 이메일 등으로 개별 통보해 정보 유출 여부를 확인하고 있으며 시스템 오픈 전에 같은 사례가 있었는지도 확인 중이다.
예상보다 많은 소득·세액공제 정보가 타인에게 노출된 것으로 나타나면서 국세청 내부적으로도 당혹스러워하는 분위기다. 국세청은 이날 개인정보보호검증 절차 강화 및 프로그램 개발 과정 개선 등 재발방지 대책을 발표했다. 국세청 관계자는 “외부 전문가가 참여하는 ‘개인정보보호검증 태스크포스(TF)’를 구성하겠다”며 “피해자들에게 사과문을 전하고 피해 구제절차 등을 안내하겠다”고 밝혔다.
김기윤 기자 pep@donga.com
“무단 로그인 70~80%는 가족 추정, 검증절차 강화해 재발 방지”
주민번호 알면 민감한 정보 조회… 건보-소득자료 내역 등 유출 가능성
국세청 연말정산 간소화 홈페이지의 보안 허점으로 15일부터 나흘 동안 800명 이상의 개인정보가 타인에게 노출된 것으로 나타났다. 국세청은 보도자료를 내고 민간 간편인증 업체 7곳의 자료와 자체 서버 등을 분석한 결과 총 821명의 소득·세액공제 자료를 타인이 조회한 것으로 나타났다고 27일 밝혔다.
연말정산 간소화 홈페이지는 15일 오전 6시 첫 오픈 때부터 보안에 허점이 있었다. 원칙대로라면 로그인하려는 본인의 인증서로만 본인 인증이 돼야 하는데, A 씨의 이름과 주민등록번호를 입력한 뒤 B 씨의 인증서를 사용해 인증해도 로그인이 됐던 것. 특정인의 이름과 주민번호만 알면 수년 치 소득·세액공제 자료를 열람할 수 있었던 것이다. 이 문제는 7가지 민간 간편인증서(카카오, 네이버, 삼성패스, 통신사패스, 페이코, 신한인증서, KB모바일인증서)를 사용할 때만 발생했으며 공동·금융인증서로 로그인할 때는 문제가 생기지 않았다.
당시 연말정산 홈페이지에 접속하던 개인정보 전문가들이 18일 오후 6시 오류를 발견하고 국세청에 신고했다. 국세청은 18일 오후 8∼11시 이용자 접속을 전면 차단하고 오류를 수정했다.
국세청 관계자는 “인증기관 연결용 프로그램에 결함이 있었다”며 “이용자 인적사항과 인증기관으로부터 받은 인적사항의 일치 여부를 검증하지 못하는 사례가 발생했다”고 설명했다.
연말정산 간소화는 매년 1800만 명의 직장인이 이용하는 대표적인 정부 서비스다 보니 상당수 직장인들이 불안감을 감추지 못했다.
더구나 연말정산 페이지에서 열람 가능한 소득·세액공제 자료에는 민감한 개인정보가 다수 포함돼 있다. 수년 동안의 건강보험·국민연금 납부 내역을 통해 소득 및 소득 추이를 추정할 수 있고, 신용카드와 현금영수증 사용액, 정당 후원금 및 종교단체 기부금 명세 등도 담겨 있다.
국세청은 당시 “자체 자료를 검증한 결과 15, 16일 자료에서는 타인 계정 로그인 사례가 발견되지 않았다”고 했지만 실제로는 이 기간에도 수백 건의 타인 계정 로그인 사례가 있었던 것으로 알려졌다. 국세청 관계자는 다만 “무단 로그인 사례 중 70∼80%는 가족 간 열람인 것으로 추정하고 있다”며 “보안 허점을 알고 동의를 받은 타인의 명의로 시험 삼아 접속한 사례도 있다”고 했다. 국세청은 당사자에게 정보 열람기록 등을 문자 이메일 등으로 개별 통보해 정보 유출 여부를 확인하고 있으며 시스템 오픈 전에 같은 사례가 있었는지도 확인 중이다.
예상보다 많은 소득·세액공제 정보가 타인에게 노출된 것으로 나타나면서 국세청 내부적으로도 당혹스러워하는 분위기다. 국세청은 이날 개인정보보호검증 절차 강화 및 프로그램 개발 과정 개선 등 재발방지 대책을 발표했다. 국세청 관계자는 “외부 전문가가 참여하는 ‘개인정보보호검증 태스크포스(TF)’를 구성하겠다”며 “피해자들에게 사과문을 전하고 피해 구제절차 등을 안내하겠다”고 밝혔다.
김기윤 기자 pep@donga.com
비즈N 탑기사
- 김숙 “내 건물서 거주+월세 수입 생활이 로망”
- “20억 받으면서 봉사라고?”…홍명보 감독 발언에 누리꾼 ‘부글’
- 세계적 유명 모델이 왜 삼성역·편의점에…“사랑해요 서울” 인증샷
- “사람 치아 나왔다” 5000원짜리 고기 월병 먹던 中여성 ‘경악’
- “모자로 안가려지네”…박보영, 청순한 미모로 힐링 여행
- 엄마 편의점 간 사이 ‘탕’…차에 둔 권총 만진 8살 사망
- 8시간 후 자수한 음주 뺑소니 가해자…한문철 “괘씸죄 적용해야”
- 교보생명, 광화문글판 가을편 새단장…윤동주 ‘자화상’
- 힐러리 “내가 못 깬 유리천장, 해리스가 깨뜨릴 것”
- ‘SNS 적극 활동’ 고현정…“너무 자주 올려 지겨우시실까봐 걱정”
- 14조 들인 에틸렌 생산 설비 착착… “신기술로 中 저가공세 깬다”
- K방산 영업익 200%대 증가 예고… 실적잔치 기대감
- 기업 실적 ‘최악’… 10곳중 4곳, 영업이익으로 이자도 못내
- ‘공사비 갈등’ 둔촌주공 재건축 25일 공사 재개.. 조합, 210억 증액 수용
- 넷플릭스發 ‘제작비 인플레’… 흥행작 제작사도 “쇼트폼 갈아탈 판”
- 올해 韓 경제 2.6% 성장 여부 안갯속…정부 “불확실성 커 수정 불가피”
- 금감원 압박에… 은행 대출규정 석달새 21회 강화
- 합병 앞둔 SK이노, 계열사 사장 3명 교체… 기술형 리더 발탁
- ‘美 공급망 재편 수혜’ 인도 주식에 올해 국내 자금 1.2조 몰려
- “롯데百의 미래 ‘타임빌라스’에 7조 투자, 국내 쇼핑몰 1위로”