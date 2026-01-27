감사원 ‘개인정보 보호’ 감사보고서

퇴직 직원 접근 권한 말소 누락도

개인정보위 피해자에 공지 않기도



감사원이 주요 공공시스템을 모의 해킹한 결과 점검 대상 7개 시스템 전체가 뚫린 것으로 나타났다. 불과 20분 만에 1000만명의 개인정보가 탈취되는가 하면 사실상 국민 전체의 주민등록번호를 확인할 수 있는 시스템도 있었다.



감사원은 27일 ‘개인정보 보호 및 관리실태’ 감사보고서를 공개하며 이같이 밝혔다. 감사원은 화이트 해커 11명을 투입해 123개 집중관리 시스템 중 개인정보 보유량이 많은 7개 시스템에 대한 모의 해킹을 진행했다. 그 결과 7개 시스템 모두에서 구멍이 확인됐다.



특정 시스템은 입력값 검증 과정이 제대로 되지 않아 해킹 접근을 반복하면 5000만명의 주민번호 조회가 가능했다. ‘비정상적 조회’ 차단 기능이 작동하지 않아 20분 만에 1000만명의 회원정보를 빼낼 수 있는 시스템도 있었다. 시스템 접속 중요 정보가 암호화되지 않아 관리자 권한을 획득하면 13만명의 주민번호 탈취도 가능했다.



감사원은 추가 피해 가능성을 고려해 7개 공공시스템 내역과 해킹 방식에 대해선 공개하지 않았다. 대신 해당 시스템 운영 기관장에게 결과를 전달해 시정을 완료했다.



감사원은 인사 정보가 연계된 경기도교육청 교육행정정보시스템, 4대사회보험정보연계시스템, 사회보장정보시스템, 지역보건의료정보시스템 등에서 퇴직한 직원 등에 대한 접근 권한 말소를 누락한 사례도 확인했다.



개인정보보호위원회는 다크웹 등에서 불법 유통되는 106만건의 정보를 수집하고도 피해 국민에게는 유출 출처를 제대로 알리지 않는 등 서비스 운영이 미흡한 것으로 지적됐다. 최근 4년간 발생한 개인정보 대량 유출 사건 320건 중 96%(306건)는 정보 노출 기간이 평균 81일에 달할 만큼 대응이 느렸다.



감사원에 따르면 2021~2024년 공공부문 개인정보 유출은 95.5%가 외부 해킹에 의해 발생했다. 내부 직원의 고의적 유출은 0.1%에 불과했지만 개인정보위는 외부 해킹 대책보다는 내부 직원 통제에만 집중한 것으로 조사됐다.



박준상 기자 junwith@kmib.co.kr



GoodNews paper ⓒ 감사원이 주요 공공시스템을 모의 해킹한 결과 점검 대상 7개 시스템 전체가 뚫린 것으로 나타났다. 불과 20분 만에 1000만명의 개인정보가 탈취되는가 하면 사실상 국민 전체의 주민등록번호를 확인할 수 있는 시스템도 있었다.감사원은 27일 ‘개인정보 보호 및 관리실태’ 감사보고서를 공개하며 이같이 밝혔다. 감사원은 화이트 해커 11명을 투입해 123개 집중관리 시스템 중 개인정보 보유량이 많은 7개 시스템에 대한 모의 해킹을 진행했다. 그 결과 7개 시스템 모두에서 구멍이 확인됐다.특정 시스템은 입력값 검증 과정이 제대로 되지 않아 해킹 접근을 반복하면 5000만명의 주민번호 조회가 가능했다. ‘비정상적 조회’ 차단 기능이 작동하지 않아 20분 만에 1000만명의 회원정보를 빼낼 수 있는 시스템도 있었다. 시스템 접속 중요 정보가 암호화되지 않아 관리자 권한을 획득하면 13만명의 주민번호 탈취도 가능했다.감사원은 추가 피해 가능성을 고려해 7개 공공시스템 내역과 해킹 방식에 대해선 공개하지 않았다. 대신 해당 시스템 운영 기관장에게 결과를 전달해 시정을 완료했다.감사원은 인사 정보가 연계된 경기도교육청 교육행정정보시스템, 4대사회보험정보연계시스템, 사회보장정보시스템, 지역보건의료정보시스템 등에서 퇴직한 직원 등에 대한 접근 권한 말소를 누락한 사례도 확인했다.개인정보보호위원회는 다크웹 등에서 불법 유통되는 106만건의 정보를 수집하고도 피해 국민에게는 유출 출처를 제대로 알리지 않는 등 서비스 운영이 미흡한 것으로 지적됐다. 최근 4년간 발생한 개인정보 대량 유출 사건 320건 중 96%(306건)는 정보 노출 기간이 평균 81일에 달할 만큼 대응이 느렸다.감사원에 따르면 2021~2024년 공공부문 개인정보 유출은 95.5%가 외부 해킹에 의해 발생했다. 내부 직원의 고의적 유출은 0.1%에 불과했지만 개인정보위는 외부 해킹 대책보다는 내부 직원 통제에만 집중한 것으로 조사됐다.박준상 기자 junwith@kmib.co.krGoodNews paper ⓒ 국민일보(www.kmib.co.kr) , 무단전재, 수집, 재배포 및 AI학습 이용 금지