[한겨레]
인터넷 통해 국세청 ‘홈택스’ 이용할때 유출
주민번호·계좌 등 담긴 파일 PC에 자동 설치
PC방서 큰위험…개발사 삼성SDS 뒤늦게 조처
국세청의 인터넷 세무신고 사이트인 ‘홈택스’(refund.hometax.go.kr)가 유가환급금 신청자들의 개인정보를 신청 당시 사용한 컴퓨터의 하드디스크에 저절로 저장시켜 노출되도록 하는 치명적 결함이 있는 것으로 드러났다. 유가환급금 신청을 피시방 등 여러 사람이 함께 이용하는 컴퓨터로 한 경우가 많아 대규모 개인정보 유출피해가 우려되고 있다.
회사원 최아무개(37)씨는 지난달 중순 사무실 피시에서 홈택스로 들어가 유가환급금을 신청했는데, 며칠 전 이 피시에 정체를 알 수 없는 한 폴더를 발견하고 깜짝 놀랐다. 메인 하드디스크 드라이브 아래 새로 생겨난 ‘ERS’라는 폴더에는 네 개의 파일이 저장돼 있었다. 파일 이름은 바로 자신의 주민등록번호였고, 파일 안에서는 유가환급금 신청 때 적은 자신의 이름·아이디·주민등록번호·주소·전화번호·회사명·은행계좌 등 개인정보가 고스란히 들어 있었다.
국세청과 홈택스 관리업체 삼성에스디에스는 뒤늦게 이런 보안상의 결함을 발견해 7일부터 긴급 조처에 나섰지만, 이미 전체 유가환급금 지급 대상자 1650만명 가운데 근로소득자 800여만명은 지난달 말까지 신청을 모두 마쳐 피해 여부를 파악할 수 없는 상황이다. 에스디에스 관계자는 “보안상의 문제를 발견하고 7일부터 신청하는 사람들은 기록이 지워지도록 조처했다”고 말했다.
하지만, 한 보안 컨설팅업체 임원은 “주민번호를 파일명으로 사용하고, 민감한 개인정보를 파일로 만들어 피시에 저장되도록 한다는 것은 어이없는 개발상의 오류”라며 “더욱이 납세자 정보를 소중히 다뤄야 하는 국세청에서 이런 일이 일어났다는 게 황당하다”고 말했다.
삼성에스디에스는 지난 7월에도 병무청의 차세대 병무행정 정보시스템을 개발·운영하면서 대통령·국방장관 등 병역공개 대상 고위공직자 3만여명의 주민번호를 인터넷에 노출시켜오다 이 사실이 언론(
“납품한 삼성SDS 시스템에 근본적 결함” )을 통해 알려지자, 서비스를 중단하고 긴급히 프로그램을 수정한 바 있다. 정부는 지난 7월 개인정보 보호 종합대책을 내놓고, 개인정보 보안이 허술한 사이트 운영자에는 접속 차단 등 단호한 조처를 내리겠다고 밝힌 바 있다.