21일 오전 구글 한국어판과 중국어판에는 국내 중앙부처 공무원 7617명의 개인정보가 검색됐다.
특정 주민등록번호를 검색창에 입력하면 공무원들의 주민번호가 담긴 교육과학기술부의 ‘4월 사이버교육과정 수료 명단’이 엑셀 파일 형식으로 검색된 것. 이 자료에 따르면 예컨대 감사원 2국 소속 부감사관은 주민번호가 571008-×××××××로 올해 4월 11일부터 24일까지 ‘Formal Business Writing 고급과정’을 수료한 것으로 돼 있다.
자료에는 감사원을 비롯해 국방부, 관세청, 국세청 등 각 부처 서기관과 사무관, 주무관 등의 명단이 망라돼 있다. 교과부 홈페이지 담당자는 “인사과 직원이 자료를 올리는 과정에서 실수한 것을 18일 삭제했지만 남아 있던 원본 소스가 구글에서 검색된 것으로 보인다”고 밝혔다.
이에 대해 보안업체 관계자는 “하나의 도메인으로 두 대의 서버를 운영하는 과정에서 외부에 공개되면 안 되는 관리자 페이지에 대한 보안장치가 전혀 마련되지 않은 것으로 보인다”고 분석했다.
문제는 해당 개인정보가 불법 개인정보 거래의 온상인 중국 측 인터넷 포털에서 보름 넘게 검색이 가능했다는 점이다. 이와 관련해 올해 2월 해킹으로 유출된 ‘옥션’ 고객 1081만 명의 개인정보가 중국의 또 다른 포털 사이트에서 거래돼 물의를 일으킨 바 있다.
▶본보 4월 21일자 A14면 참조
옥션 사건 당시에는 일반 국민의 개인정보가 거래됐지만 이번에는 중앙부처 공무원 수천 명의 개인정보가 유출됐다는 점에서 큰 파장이 예상된다. 더구나 유출된 자료 중에는 보이스 피싱과 해킹으로 직결될 수 있는 휴대전화 번호와 행정망 ID가 적힌 것도 있다.
21일 본보가 교과부 홈페이지에서 입수한 ‘행정안전부 8∼9월 중 교육 대상자 확정’이라고 쓰여 있는 엑셀 파일에는 서울대 등 각 국립대 공무원 106명의 소속 부서, 직급, 성명, 휴대전화 번호, 행정망 접속 ID가 나란히 적혀 있다. 이 가운데 행정망 접속 ID는 해킹을 통한 국가기밀 유출까지도 가능하다는 점에서 심각한 문제로 지적된다.
보안업체 킵스랩의 백승호 대표는 “전문 해커들의 경우 행정망 ID를 확보한 상황에서 다른 개인정보를 이용해 비밀번호까지 알아낼 수 있는 능력이 있다”며 “정부 행정망 중 공인인증서를 사용하지 않는 곳은 중요 자료가 유출될 수 있는 상황”이라고 말했다.
전문가들은 정부의 안일한 보안 의식이 개선되지 않는 한 이 같은 정보 유출 사고를 막기는 힘들다고 입을 모았다.
경찰청 사이버테러대응센터 이병기 수사실장은 “개인정보를 일반 파일로 만들어 보관하는 것 자체가 문제”라며 “일반 파일은 공개된 부처 홈페이지는 물론이고, 비공개 내부 사이트에 게시되더라도 유출될 수 있기 때문에 개인정보 파일은 반드시 암호화해서 별도로 관리해야 한다”고 지적했다.
보안 분야에 대한 정부의 예산 지원이 인색한 것도 문제라는 지적이다.
교과부 관계자는 “개인정보를 자체 차단하는 필터링 시스템을 올해 구입하려고 했지만 내부 사정에 따라 예산 집행이 내년으로 미뤄졌다”고 밝혔다.
행안부 이필영 개인정보보호과장은 “올해 초 각 부처에 개인정보 사전 차단 필터링 시스템을 메인 서버에 설치하라는 지침을 내려 보냈지만 부처에서 시스템을 갖추었는지는 아직 확인해 보지 않았다”고 말했다.
김상운 기자 sukim@donga.com
신광영 기자 neo@donga.com