국세청 홈택스 연말정산 간소화 서비스에서 보안 허점으로 821명의 개인정보가 유출된 것으로 나타났다.
국세청은 27일 홈택스 연말정산 간소화 서비스 보안 허점 사고 조사 결과를 발표했다.
국세청에 따르면 연말정산 간소화 서비스는 민간인증서를 통한 간편인증 과정에 오류가 발생했으나 이를 인지하지 못한 채 지난 15일 오전 6시 개통했다. 올해 이용 가능한 민간인증서를 추가하면서 인증기관 연결용 프로그램에 결함이 발생한 것이다.
홈택스 로그인 절차는 '이용자 성명과 주민등록번호 입력' '인증 요청 및 회신 등 간편인증' '이용자 인적 사항과 인증 시 인적 사항 일치 여부 검증' 단계로 진행되는데, 일치 여부 검증 단계가 누락된 것이다.
이 때문에 A의 이름과 주민등록번호를 입력한 뒤 B의 인증서로 인증을 해도 로그인이 되는 오류가 나타났다.
국세청은 오류 사실을 18일 인지하고 오후 8시부터 3시간가량 민간인증서 로그인을 차단한 뒤 수정했다.
보안이 뚫려 있었던 기간 동안의 로그인 기록을 모두 분석한 결과 타인 명의로 이용자 인적 사항과 인증 시 인적 사항이 다른 사례가 821건 발생했다. 다른 사람의 이름과 주민등록번호를 적어 넣고 자신의 인증서로 로그인해 자료를 조회한 사람이 821명 있었다는 의미다. 가족관계는 물론 의료비, 카드사용금액 등 공제자료에 담긴 민감한 개인정보가 노출된 것이다.
국세청은 개인정보보호법과 표준개인정보보호지침에 따라 5일 이내에 타인에 의해 자료가 조회된 821명에게 서면이나 이메일, 전화 등을 통해 개인정보 유출 사실을 개별 통지하기로 했다. 통지문에는 사과문, 타인에 의해 조회된 자료 내역, 개인정보 노출 시점, 향후 조치 방안, 피해 구제 절차 등이 포함된다.
국세청은 재발 방지 대책도 마련하겠다고 밝혔다. 외부 전문가가 참여하는 개인정보보호검증 태스크포스(TF)를 구성해 이번 사건을 포함한 전산시스템 전반에 대한 개인정보 보호 및 관리 실태를 점검한다. 프로그램 개발과 테스트 과정에서의 오류 검증을 강화하고 개인정보 보호 조치 적정성을 진단하는 방안도 강구한다.
국세청은 “이번 사건이 발생한 데 대해 납세자 여러분께 진심으로 사과드린다”며 “사안의 심각성을 깊이 인식하고 앞으로 이런 일이 재발하지 않도록 각고의 노력을 기울이겠다”고 밝혔다.
최다현기자 da2109@etnews.com
