[디지털데일리 김보민기자] 국민 개인정보를 대규모로 다루는 정부 공공시스템이 해킹에 취약하다는 감사 결과가 나왔다.

27일 감사원은 '개인정보 보호 및 관리 실태' 결과를 발표했다. 화이트해커 11명이 투입된 이번 감사는 공공시스템 123개 중 개인정보 보유량이 많은 7개를 모의해킹해 보안 취약점을 점검하는 방식으로 진행됐다. 다크웹에 불법 유통되는 공공부문 유출 정보를 분석하는 작업도 병행됐다.

감사 결과 공공부문 개인정보 유출 원인은 95.5%가 외부 해킹에 의해 발생한 것으로 나타났다. 내부 직원이 고의 유출한 경우는 0.1%에 불과했다. 감사원은 "외부 해킹 대비 대책이 절실하다"고 평가했다.

감사 대상인 7개 시스템 모두 보안 취약점이 있다는 점도 드러났다. 해당 시스템에는 권한이 부여되지 않은 타인 정보를 조회할 수 있는 취약점이 존재해 개인정보 유출 가능성이 있는 것으로 확인됐다. 감사원은 개인정보 탈취 방법이 악용될 가능성이 있어 구체적인 감사 내용은 공개하지 않았다.

시스템 접속에 필요한 중요 정보가 암호화되지 않아 해커가 관리자 권한을 획득할 경우 13만 주민번호가 탈취될 가능성도 발견됐다. 해커가 고객 조회 정보를 조작해 3000명 주민번호를 확인할 수도 있었다. 입력값을 검증하는 과정이 미비해 반복 시도를 통해 5000만명 주민번호를 조회할 가능성도 확인됐다. 취약점 점검을 다시 수행하지 않아 비정상적인 조회를 차단하지 못했고, 이로 인해 1000만명 회원 정보를 20분 내 탈취할 수도 있었다.

한편 감사원은 개인정보보호위원회가 2022년 공공부문 개인정보 유출 방지 대책을 수립했지만 외부 해킹에 대한 대책을 세우지 않았다고 지적했다. 아울러 주요 서비스에 대한 개선책이 필요하다고 강조했다. 그 일환으로 '털린 내 정보 찾기' 서비스에 이메일 도메인 정보를 추가 제공하고, 이메일 계정 정보 외 웹사이트 정보를 취득하는 방안을 마련하도록 했다.

감사원은 2021년부터 2025년까지 개인정보가 대량 유출된 320건 중 306건(96%)에서 평균 81일간 정보가 인터넷에 노출됐을 가능성이 있다고 지적했다. 관련 기관이 신고를 하지 않을 경우 유출 여부를 제때 확인하기 어렵다는 점도 꼬집었다. 이와 관련해 개인정보위에 절차 마련을 주문했다.