감사원이 공공부문 개인정보 보호 및 관리 실태를 점검한 결과, 주요 공공시스템 전반에서 외부 해킹에 취약한 구조와 접근권한·사후관리 미흡 등 다수의 문제점이 확인됐다. 감사원은 개인정보 유출이 반복될 수 있는 구조적 위험이 해소되지 않았다고 판단하고 관계 기관에 제도 개선을 통보했다.
감사원은 지난 26일 공개한 감사 결과에서 정부가 ‘집중관리시스템’으로 지정한 공공시스템 가운데 개인정보 보유량이 많은 7개 시스템을 대상으로 모의해킹을 실시한 결과, 7개 모두에서 보안 취약점이 발견됐다고 전했다. 감사원은 “외부 해킹에 의한 개인정보 유출 우려가 상존하고 있음에도 공공시스템 보안 취약점 점검 체계가 충분히 마련되지 않았다”고 설명했다.
감사원에 따르면 2021년부터 2024년까지 공공부문 개인정보 유출 원인의 95.5%는 외부 해킹에 의한 것으로 나타났다. 반면 내부자의 고의 유출 비중은 0.1%에 불과해, 외부 침입에 대한 대응 역량이 핵심 과제로 지목됐다.
그럼에도 불구하고 공공시스템에 대해서는 주요 정보통신기반시설이나 전자금융기반시설과 달리 강화된 보안 취약점 점검 요건이 적용되지 않고 있다고 감사원은 지적했다. 보안 점검 과정에서 접근통제와 인증 관리 부실도 다수 확인됐다.
일부 시스템에서는 권한이 없는 이용자가 타인의 개인정보를 조회할 수 있었고, 관리자 권한 탈취 시 수만 명의 주민번호 등 민감 정보가 한 번에 유출될 수 있는 구조도 발견됐다. 입력값 검증이 미흡하거나 시스템 개선 사업이 완료되지 않은 상태에서 취약점 점검 이후 추가 보완이 이뤄지지 않은 사례도 있었다.
인사·접근권한 관리 역시 허술한 것으로 드러났다. 감사원은 퇴직자나 보직 변경자의 공공시스템 접근권한이 적시에 말소되지 않은 사례를 확인했다.
일부 기관에서는 퇴직한 계약직 직원이 수개월간 시스템에 접속할 수 있었던 것으로 나타났다. 개인정보 접속기록 관리도 미흡해, 운영자가 데이터베이스에 직접 접속해 개인정보를 조회하더라도 관련 기록을 보관·점검하지 않는 경우가 적지 않았다고 감사원은 전했다.
불법 유통되는 개인정보에 대한 대응 체계도 도마에 올랐다. 감사원은 개인정보보호위원회가 운영 중인 ‘털린 내 정보 찾기’ 서비스가 다크웹에서 수집된 이메일 계정정보 중심으로 제공돼, 실제 유출 경로인 웹사이트 계정정보는 충분히 반영하지 못하고 있다고 지적했다.
감사원 관계자는 “유출된 계정정보의 출처를 확인하고 2차 피해를 차단하기에는 서비스 정보와 품질 모두 한계가 있다”고 말했다. 감사원은 개인정보 대량 노출 발생 이후의 사후관리 절차 역시 미흡하다고 판단했다.
