연합뉴스 본문 바로가기 메뉴 바로가기

연합뉴스 최신기사
뉴스 검색어 입력 양식

821명 연말정산 정보, 타인에 노출됐다…국세청 "진심으로 사과"(종합)

송고시간2022-01-27 13:28

beta

국세청 홈택스 연말정산 간소화 서비스 보안 허점으로 821명의 개인정보가 다른 사람에게 노출된 것으로 나타났다.

국세청은 27일 홈택스 연말정산 간소화 서비스 오류 조사 결과를 이같이 발표했다.

가족관계, 의료비, 카드사용금액 등 연말정산 공제자료에 담긴 민감한 개인정보가 노출된 사건이라 파장이 클 것으로 예상된다.

요약 정보 인공지능이 자동으로 줄인 '세 줄 요약' 기술을 사용합니다. 전체 내용을 이해하기 위해서는 기사 본문과 함께 읽어야 합니다. 제공 = 연합뉴스&줌인터넷®

주민번호 알면 타인도 로그인 가능하도록 사흘간 시스템 오류

국세청, 개별통보 예정…TF 구성해 재발 방지대책 마련 계획

821명 연말정산 정보, 타인에 노출됐다…국세청 "진심으로 사과"
821명 연말정산 정보, 타인에 노출됐다…국세청 "진심으로 사과"

※ 기사와 직접 관계가 없습니다. [연합뉴스 자료사진]

(세종=연합뉴스) 차지연 기자 = 국세청 홈택스 연말정산 간소화 서비스 보안 허점으로 821명의 개인정보가 다른 사람에게 노출된 것으로 나타났다.

국세청은 27일 홈택스 연말정산 간소화 서비스 오류 조사 결과를 이같이 발표했다.

가족관계, 의료비, 카드사용금액 등 연말정산 공제자료에 담긴 민감한 개인정보가 노출된 사건이라 파장이 클 것으로 예상된다.

국세청은 개인정보 노출 피해자에게 노출 내용과 사과문 등을 개별 통지하고, 외부 전문가가 참여하는 태스크포스(TF)를 구성해 재발 방지 대책을 마련할 방침이다.

◇ 주민번호만 알아도 로그인 가능…간소화 서비스 사흘간 뚫려

연말정산 간소화 서비스는 민간인증서를 통한 간편인증 과정에 오류가 생긴 채로 지난 15일 오전 6시 개통했다.

간소화 서비스는 공동인증서나 민간인증서로 로그인해 이용할 수 있다. 올해는 이용 가능한 민간인증서가 기존 카카오톡·통신 3사 PASS·페이코·삼성패스·KB국민은행 5종에 네이버·신한은행 2종이 추가됐다.

그런데 민간인증서 2종을 새로 적용하는 과정에서 인증기관 연결용 프로그램에 결함이 발생했다.

로그인 절차는 '이용자 성명과 주민등록번호 입력', '인증 요청 및 회신 등 간편인증', '이용자 인적 사항과 인증 시 인적 사항 일치 여부 검증'의 단계로 진행되는데, 이 중 일치 여부를 검증하는 단계가 누락된 것이다.

이 때문에 A의 이름과 주민등록번호를 입력한 뒤 B의 인증서로 인증을 해도 로그인이 완료되는 오류가 나타났다.

다른 사람의 이름과 주민등록번호만 알면 로그인해 가족관계, 의료비 지출, 카드 사용 금액 등 연말정산 자료를 모두 조회할 수 있게 된 것이다.

이런 오류는 15일 오전 6시 간소화 서비스 개통 시점부터 발생했다.

국세청은 오류 사실을 사흘 뒤인 18일 인지해 당일 오후 8시부터 3시간가량 민간인증서 로그인을 차단한 뒤 수정했지만, 사흘간 개인정보 노출 피해는 막을 수 없었다.

국세청
국세청

[촬영 안 철 수]

◇ 타인 명의 로그인 사례 821건…노출 시점·내용 개별 통보키로

국세청은 시스템 오류가 있던 사흘간 로그인 기록을 모두 분석한 결과, 이용자 인적 사항과 인증 시 인적 사항이 다른 사례가 821건이라고 밝혔다.

다른 사람의 이름과 주민등록번호를 적어넣고 자신의 인증서로 로그인해 자료를 조회한 사람이 821명이었다는 의미다. 결국 821명의 개인정보가 노출된 것이다.

국세청은 간소화 시스템 개통 이전에 유사한 사례가 있는지도 추가 분석 중이다.

국세청은 개인정보보호법과 표준개인정보보호지침에 따라 5일 이내에 타인에 의해 자료가 조회된 821명에게 서면이나 이메일, 전화 등을 통해 개인정보 노출 사실을 개별 통지하기로 했다.

개별 통지에는 사과문, 타인에 의해 조회된 자료 내역, 개인정보 노출 시점, 향후 조치 방안, 피해 구제 절차 등을 포함할 계획이다.

.다만 이번 노출 사례 중 상당수가 가족이나 지인에 의한 자료 조회일 가능성이 있는 만큼, 국세청은 노출 피해 당사자에게 타인의 조회에 동의한 적이 있는지 확인을 거치기로 했다.

만약 당사자 동의 없이 타인이 각종 자료를 조회해 개인정보가 유출된 사실이 확인된다면 피해 당사자는 개인정보보호위원회에 분쟁조정을 신청할 수 있다.

국세청은 앞으로 유사한 사례가 재발하지 않도록 대책을 마련하겠다고 밝혔다.

우선 외부전문가가 참여하는 개인정보보호검증 태스크포스(TF)를 구성해 이번 사건을 포함한 전산시스템 전반에 대한 개인정보 보호·관리 실태를 점검하고 재발 방지책을 준비할 방침이다.

프로그램 개발과 테스트 과정에서 오류 검증을 강화하고 개인정보 보호 조치 적정성을 진단하는 방안도 강구하기로 했다.

국세청은 "이번 사건이 발생한 데 대해 납세자 여러분께 진심으로 사과드린다"며 "사안의 심각성을 깊이 인식하고 앞으로 이런 일이 재발하지 않도록 각고의 노력을 기울이겠다"고 밝혔다.

charge@yna.co.kr

댓글쓰기
에디터스 픽Editor's Picks

영상

뉴스
댓글 많은 뉴스