민간기관 제보에 황급히 수정…“아직 유출 사례 없어"
[서울이코노미뉴스 김보름 기자] 국세청이 지난 15일 개통한 홈택스 연말정산 간소화 서비스에 보안상 구멍이 있는데도 나흘 동안 몰랐다가 뒤늦게 바로잡은 것으로 드러났다.
다른 사람의 이름과 주민등록번호만 입력하면 그 사람의 소득, 가족관계, 진료기록 등 사적 정보에 대한 열람이 가능하도록 시스템에 오류가 있었다는 것이다.
이제는 오류를 수정했으며, 개인정보 유출 사례는 발견되지 않았다는 게 국세청의 설명이다.
21일 국세청에 따르면 올해부터 연말정산 간소화 서비스에서 본인임을 확인하는 인증 과정에 민간 기업의 간편 인증 방식을 추가했다가 허점이 발생했다는 것이다.
간소화 서비스는 공동인증서와 카카오톡, 통신3사 PASS 등 민간인증서로 로그인해 이용할 수 있다.
올해는 민간 간편 인증에 네이버와 신한은행이 추가됐다.
그런데 민간인증서 이용 범위를 넓히는 과정에서 본인 확인 절차의 알고리즘이 일부 누락되면서 보안상 오류가 발생했다.
이 때문에 다른 사람의 이름과 주민등록번호를 입력하고 인증서는 본인의 것을 이용해도 로그인이 돼 다른 사람의 소득·세액공제 자료 등을 조회할 수 있게 됐다는 것이다.
연말정산 자료에는 소득, 가족관계, 진료기록 등 사적 정보들이 담겨 있어 누출된다면 개인들에게 피해가 갈 수 있다.
국세청은 민간인증서 관련 기관으로부터 보안 오류 발생 사실을 전해 듣고 18일 오후 8시부터 3시간가량 민간인증서를 통한 로그인을 차단한 뒤 문제를 해결했다.
하지만 오류가 수정되기 전인 15일부터 18일 사이 4일 동안 개인정보가 유출됐을 가능성은 배제할 수 없다.
국세청 관계자는 "해당 기간 이용자 접속 자료를 토대로 유출 피해 사례를 찾고 있는데 아직까지는 확인되지 않았다"면서 "자료가 방대한 만큼 계속 분석해봐야 한다"고 말했다.