국세청 연말정산 시스템의 오류로 821명의 납세 정보 등 개인 정보가 유출됐다. 연말정산 자료에는 개인의 소득과 지출 및 병·의원 이용 내역, 가족 관계 등이 고스란히 담겨 있어 향후 파장이 예상된다. 국세청은 피해자들에게 유출 내용을 개별 통지하는 한편 외부 전문가가 참여하는 태스크포스(TF)를 구성해 재발 방지 대책을 마련하기로 했다.
국세청은 27일 이 같은 내용의 국세청 연말정산 로그인 오류 조치 상황을 발표했다. 이번 오류는 연말정산 간소화 시스템에 접속해 본인 인증을 하는 과정에서 발생했다.
지난해까지는 카카오톡, SK텔레콤·KT·LGU+ 등 통신사, 페이코, 삼성패스, KB국민은행 등 7곳에서 발급한 민간 인증서로만 로그인이 가능했는데 올해부터 네이버와 신한은행을 추가하는 과정에서 프로그램 결함이 발생했다는 것이 국세청 조사 결과다.
로그인 절차는 ‘이용자 성명과 주민등록번호 입력’ ‘인증 요청 및 회신 등 간편 인증’ ‘이용자 인적 사항과 인증 시 인적 사항 일치 여부 검증’의 단계로 진행되는데 이 일치 여부를 검증하는 단계가 누락된 것이다. 이에 따라 가령 A 씨의 이름과 주민등록번호를 입력한 뒤 B 씨의 인증서를 사용해도 로그인되는 오류가 발생했다. 특정인의 이름과 주민등록번호만 알면 개인 정보를 샅샅이 뒤져볼 수 있었던 셈이다. 이 오류는 지난 15일 오전 6시 시스템이 오픈된 직후부터 발생했으며 국세청은 나흘여가 지난 18일 오후 8시에야 문제를 인지하고 서비스를 차단했다. 이 사이에 개인 정보를 털린 피해자가 821명에 달했다. 국세청은 간소화 시스템 개통 이전에 유사한 사례가 있는지도 추가 분석 중이다.
문제는 국세청이 자체 조사를 통해 피해자를 특정하는 데는 성공했지만 일부 가해자는 아직 파악하지 못했다는 점이다. 국세청 관계자는 “동시 접속자를 가려내는 방식으로 자료 열람자를 찾고 있지만 조사 방식에 한계가 있어 정보 유출자를 모두 밝혀내지는 못했다”며 “일부 특정된 가해자에 대해서는 자료 노출 피해자와 어떤 관계인지 등을 파악하고 있다”고 말했다.
다만 국세청은 이번 정보 유출이 대부분 가족이나 지인 간 관계에서 벌어졌을 것으로 보고 있다. 그러나 821명의 피해 사례 중 당사자 동의를 구하지 않고 다른 사람이 일방적으로 로그인한 경우도 있을 수 있어 피해자 전원에게 연락해 동의 여부를 파악할 계획이다.
이번 개별 통지는 개인정보보호법과 표준개인정보보호지침에 따라 5일 이내에 서면이나 전화 등을 통해 진행된다. 이 개별 통지에는 사과문, 타인에 의해 조회된 자료 내역, 개인 정보 노출 시점, 향후 조치 방안, 피해 구제 절차 등이 포함된다.
유사 사례 재발 방지 대책도 마련하기로 했다. 외부 전문가가 참여하는 개인정보보호검증TF를 구성해 이번 사건을 포함, 전산 시스템 전반에 대한 개인 정보 보호·관리 실태를 점검하고 재발 방지책을 준비할 계획이다. 프로그램 개발과 테스트 과정에서 오류 검증을 강화하고 개인 정보 보호 조치의 적정성을 진단하는 방안도 강구하기로 했다.
국세청은 “이번 사건이 발생한 데 대해 납세자 여러분께 사과드린다”며 “사안의 심각성을 깊이 인식하고 앞으로 이런 일이 재발하지 않도록 각고의 노력을 기울이겠다”고 밝혔다.
정부의 한 관계자는 “2014년에도 국세청 홈택스에서 개인 정보 취약점이 발견돼 수정하는 일이 있었는데 누구보다 엄중하게 업무를 수행해야 할 기관에서 자꾸만 보안에 구멍이 뚫리는 일은 더 이상 벌어져서는 안 된다”고 말했다.