외부 업체 통해 제작 및 운영 관리하는 페이지로 드러나
지자체·공공기관도 CISO 자격요건 구체화, 상급 기관에서 보안수준 관리 등 보안 내재화 필요
[보안뉴스 박은주 기자] 외주로 제작한 지자체 산하 페이지의 보안 관리 미흡으로 개인정보 유출 위험이 커지고 있다. 지자체에서 직접 보안을 관리·감독하는 적극적인 태도와 지자체 및 공공기관 보안수준 향상이 요구되는 상황이다.
▲(왼쪽부터) 거제시 통합채용 홈페이지, 경기도 청년 노동자 통장 신청 페이지[캡처=보안뉴스]
최근 거제시와 경기도 관련 공공기관 페이지에서 개인정보가 유출될 수 있는 위험이 발견됐다. 거제시 공공기관 직원 통합채용 시험 최종합격자를 발표 페이지에서 타 수험 번호와 성명을 입력하면 응시원서 및 제출서류를 열람할 수 있었다.
또한, 경기도 청년 노동자 통장 신청 페이지에서 웹 페이지 주소에 개인 식별번호가 노출됐고, 숫자를 바꾸자 다른 신청자 개인정보를 확인할 수 있었다. 이때 노출되는 정보는 주민등록등본 및 초본 등 민감 정보인 것으로 드러났다. 위 페이지는 모두 외부 업체를 통해 제작 및 운영 관리되고 있었다.
‘2024년 정보보호 백서’에 따르면 52.68%의 공공기관에서 홈페이지·서버 등 주요 정보 시스템을 운영할 때 ‘자체 관리와 외부 위탁을 병행’한다고 답했다. 전적으로 외부 업체에 위탁하는 경우도 20.54%로 전년 대비 증가세를 보였다.
효율성 및 인력 부족, 전문성 부족 등의 이유로 과반의 기관이 보안을 위탁하고 있는 상황에 대한 우려가 커지고 있다. 지자체 및 공공기관과 위탁업체 사이 서비스 수준 협약(SLA)을 맺고 정기적으로 점검 및 보안 상태를 확인했다면 이러한 오류가 발생하지 않을 것이란 의견이 제기됐다.
전문건설공제조합 정용훈 CISO는 “단순히 위탁업체, 해당 기관 문제로만 여길 게 아니”라며 공공기관 보안관리의 전반적인 문제를 꼬집었다. 전 CISO는 “소규모 공공기관에서 보안을 전담할 수 있는 예산과 인력을 비롯해 CISO(정보보호최고책임자) 등 보안책임자 역량이 부족하다”고 지적하며 “공공기관도 민간처럼 CISO 자격요건을 구체화하고, 상급 기관에서 체계적으로 보안 수준을 관리할 방법을 마련해야 한다”고 제언했다. 민간에 적용되는 보안 메커니즘을 공공부문에도 차용해 스스로 보안 내재화를 이뤄야 한다는 얘기다.
한편 거제시는 제보를 통해 개인정보 유출 사실을 확인하고, 안내문을 통해 개인정보 노출 가능성에 대해 알리고 사과했다. 현재 입사 지원과 시험 합격자를 조회하기 위해서는 성명과 수험번호, 비밀번호를 입력해야 한다. 거제시는 “1차적으로 받은 로그 상으로는 유출 기록이 발견되지 않았다”며 “관련 자료를 분석해서 실제 개인정보 유출 여부를 확정해 홈페이지에 다시 공지하겠다”는 계획을 밝혔다. 경기도 청년 노동자 통장 신청 페이지를 운영하는 경기복지재단 역시 개인정보 유출은 없었다고 밝히며 취약점을 점검하겠다고 밝힌 상황이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>