[單獨]‘國稅廳年末精算’ 나흘동안 保安虛點… 個人情報多數流出될뻔

東亞日報
入力 2022年 1月 21日 03時 00分

김기윤 記者

코멘트: 個

좋아요: 個

코멘트: 個

引證手段追加過程서 ‘設計誤謬’로 7個民間認證書使用때 問題發生
專門家들 申告로 뒤늦게 誤謬修正… 國稅廳, 個人情報流出被害調査
“15,16日엔 他人 로그인 發見안돼”

國稅廳의 年末精算簡素化 홈페이지가 設計問題 탓에 15日부터 나흘 동안 이름과 住民登錄番號만 알면 他人의 所得·稅額控除資料를 통째로 들여다볼 수 있었던 것으로 밝혀졌다. 所得控除資料에는 家族關係와 病院訪問記錄, 信用카드 使用額等敏感한 個人情報가 多數包含돼 있다. 國稅廳은 18日午後 이런 問題點을 把握하고 홈페이지를 整備했으며, 個人情報流出被害가 實際로 發生했는지를 點檢하고 있다.

20日 동아일보 取材를 綜合하면 ‘國稅廳 홈택스 年末精算簡素化’ 홈페이지는 15日午前 6時門을 열었을 때부터 保安에 虛點이 있었다고 한다. 原則대로라면 로그인하려는 本人의 認證書로만 本人認證이 돼야 하는데, A 氏의 이름과 住民番號를 入力한 뒤 B 氏의 認證書를 使用해 引證해도 로그인이 됐던 것이다. 이 問題는 카카오톡과 通信社等 7가지 民間簡便認證書를 使用할 때만 發生했으며, 共同·金融認證書로 로그인할 때는 問題가 생기지 않았다.

年末精算 홈페이지에 接續하던 個人情報專門家들이 18日午後 6時 이 같은 誤謬를 發見하고 國稅廳에 申告했다. 專門家들은 “同意를 求하고 他人名義로 試驗해 봤는데 正말 로그인이 됐다” “問題가 深刻하다”며 對應을 促求했다. 國稅廳은 이날 午後 8∼11時에 利用者接續을 全面遮斷하고 홈페이지의 問題點을 고쳤다.

이番保安事故는 國稅廳이 年末精算簡素化 홈페이지에 認證手段을 追加하는 過程에서 프로그램 設計誤謬로 發生한 것으로 나타났다.

國稅廳關係者는 “利用者便宜를 위해 別途加入 없이 本人認證만 하면 로그인할 수 있는 臨時 홈페이지를 만들었는데, 여기에 簡便認證書를 追加하는 過程에서 誤謬가 생겼다”고 說明했다. 지난해 새로 導入한 民間簡便認證手段 5個에 올해 2個를 追加했는데, 이 過程에서 이름·住民番號와 簡便認證書所有者의 一致與否를 檢證하는 알고리즘이 省略됐다는 것이다.

國稅廳은 實際個人情報流出被害가 있었는지를 調査中이다. 國稅廳關係者는 20日 “(只今까지 檢證이 進行된) 15, 16日의 自體資料에서는 他人計定 로그인 事例가 發見되지 않았다”고 밝혔다.

所得·稅額控除資料에는 敏感한 個人情報가 多數包含돼 있다. 數年 동안의 健康保險·國民年金納付內譯을 통해 所得 및 所得推移를 推定할 수 있고, 信用카드와 現金領收證使用額, 政黨後援金 및 宗敎團體寄附金明細等도 담겨 있다. 家族中 누가 어느 病院에 갔는지도 알 수 있다.

個人情報關聯事件을 다루는 손호용 辯護士는 “國民의 內密한 情報가 고스란히 流出될 뻔한 事故”라며 “政府, 公共機關은 홈페이지를 열기 前充分한 檢收를 하고 保安認證 시스템을 强化해야 한다”고 指摘했다.

김기윤 記者 pep@donga.com

#國稅廳 #保安事故 #國稅廳個人情報流出 #年末精算簡素化