홈택스 연말정산 간소화 서비스에 보안 허점이 발견돼 국세청이 이를 정비했다. 시스템 오류로 주민등록번호만 알면 다른 사람의 소득·세액공제 자료를 열람할 수 있었는데 국세청은 정보 유출 사례는 없었다는 입장이다.
21일 국세청에 따르면 지난 15일 오전 6시 개통한 연말정산 간소화 서비스에 개통 시점부터 인증 과정에서 보안 허점이 발생했다.
간소화 서비스는 공동인증서와 함께 카카오톡, 통신3사 PASS 등 민간인증서로 로그인을 할 수 있다. 올해는 이용 가능한 민간인증에 네이버와 신한은행이 추가됐다. 보안 오류는 민간인증서 이용 범위를 넓히는 과정에서 본인 확인 절차 알고리즘이 일부 누락되면서 발생했다. 다른 사람의 이름과 주민등록번호만 입력하고 인증서는 본인의 것을 사용해도 로그인이 완료돼 다른 사람의 소득·세액공제 자료를 조회할 수 있었다.
국세청의 소득·세액공제 자료에는 의료비 등 병원 방문 기록, 신용카드 사용액과 같은 민감한 개인정보가 다수 포함돼 있어 타인 계정 로그인 사례가 있다면 심각한 문제가 될 수 있다.
국세청은 보안 오류를 민간인증서 관련 기관에서 전해 듣고 18일 오후 8시부터 3시간 가량 민간인증서 로그인을 차단한 뒤 오류를 수정했다.
국세청은 오류가 수정되기 전인 15~18일 사이에 개인정보 유출 사례는 발견되지 않았다고 설명했다. 해당 기간 이용자 접속 자료를 토대로 실제 다른 사람의 계정에 로그인한 사례를 찾고 있으나 아직까지는 확인되지 않았다. 다만 자료가 방대해 분석을 계속해봐야 한다고 덧붙였다.
최다현기자 da2109@etnews.com
