쿠팡과 통신사 등의 대규모 개인정보 유출 사태의 후폭풍이 이어지는 가운데, 공공기관의 집중관리시스템 또한 보안에 취약한 것으로 감사원 감사결과 드러났다.
감사원은 27일 '개인정보 보호 및 관리실태' 감사결과를 발표하고 이같은 내용을 공개했다.
감사원은 지난해 11~12월 공공부문에서 근무하는 화이트 해커 11명을 동원해 개인정보를 대량으로 보유한 7개 공공시스템을 직접 모의해킹해 보안취약점을 점검했다.
그 결과 7개 시스템 모두에서 보안취약점이 발견돼 개인정보 탈취가 가능한 것으로 드러났다.
구체적으로 A시스템은 시스템 접속에 필요한 중요정보가 암호화되지 않아, 해커 등이 관리자 권한을 획득하면 13만 명의 주민번호를 탈취할 수 있었다.
B시스템의 경우 민원 처리 등의 고객 요청이 정당한 사용자에 의한 요청인지를 검증하지 않아, 해커가 고객 조회정보 조작을 통해 3천 명의 주민번호를 확인할 수 있었다.
또 C시스템은 입력값을 검증하는 과정이 미비해, 제한 없는 반복시도를 통해 5천만 명의 주민번호 조회가 가능했다.
D시스템은 개통 당시 취약점검 미수행으로 비정상적 조회를 차단하지 않아, 해커가 20분 만에 1천만 명의 회원정보를 탈취할 수 있었다.
개인정보 접근권한 관리와 점검이 미흡한 사례도 확인됐다. 교육행정시스템의 경우 계약직 교원의 인사정보가 연계되지 않아 경기교육청에서 퇴직한 계약직 교원 3천 명의 접속권한이 유지됐던 것으로 드러났다.
감사원은 보안취약점이 발견된 7개 시스템 운영기관장에게 감사기관 중 관련 내용을 알려 시정을 완료했다고 밝혔다.
또 개인정보위 위원장에게 △공공시스템 운영기관이 전문기관을 통해 보안취약점 분석평가를 매년 실시할 것과 △인사정보를 연계하고도 접속권한이 말소되지 않은 사례를 전파하고 실태점검 시 확인할 것 등을 통보했다.