거제시 통합채용 홈페이지에 개인정보 노출 가능성 높아... “지원자 제보로 확인중”

2024-06-14 17:27
  • 카카오톡
  • 네이버 블로그
  • url
타인의 수험번호와 이름 입력할 경우 응시원서 및 제출서류 열람 가능
합격자 조회 시스템에서 수험번호, 이름 외에 비밀번호 입력토록 개선
거제시 통합채용 홈페이지에 ‘노출 가능성’과 관련해 사과문 게재


[보안뉴스 김영명 기자] 2024년 경상남도 거제시 공공기관 직원 통합채용 시험의 최종합격자 발표 과정에서 타인의 수험번호와 성명을 입력할 경우 응시원서 및 제출서류를 열람할 수 있는 것으로 확인됨에 따라 지원자들의 개인정보가 노출됐을 가능성이 제기됐다.


▲경남 거제시에서 공공기관 직원 채용 수험생의 개인정보 노출 가능성에 대해 안내했다[자료=거제시 통합채용 홈페이지]

이에 거제시는 최근 거제시 통합채용 홈페이지에 ‘개인정보 노출 가능성을 안내한다’며 사과의 뜻을 밝혔다. 이와 관련 거제시 측은 시 채용시험 지원자의 제보에 의해 가능성이 있어 공지를 올린 것으로, 아직 사태를 파악 중이라고 밝혔다.

거제시는 5월 24일과 6월 7일에 ‘2024년 거제시 공공기관 직원 통합채용 최종합격자 공고’를 사업부서별로 두 번에 걸쳐 공지했다. 이어 6월 7일에 ‘개인정보 노출 가능성으로 인한 사과 안내’를 게시했다.

이와 관련해 거제시 관계자는 “6월 4일에 수험생 중 한 분의 제보를 받아 유출 가능성이 있다는 사실을 인지했다”며 “제보를 받은 직후 통합채용 홈페이지를 관리·운영하는 회사 측에 관련 자료를 요청해서 파악 중이지만 1차적으로 받은 로그 상으로는 유출된 기록은 발견되지 않았다”고 밝혔다.

거제시 통합채용 홈페이지는 ‘입사지원/합격자 확인’ 란이 있어 합격자 여부를 확인할 수 있다. 거제시 관계자는 “이번 시험에서는 총 32명의 신규 직원을 채용하려 하는데 시험 응시자가 320명으로 10배수에 이른다”면서도 “수험번호는 13자리 난수로 생성돼 이를 정확하게 알 수 있는 사람은 시험 응시 당사자밖에 없을 것”이라고 말했다. 이에 따라 거제시 측은 수험생 중 한 사람이 시험 과정에서 불법적인 행동을 통해 다른 수험자의 수험번호와 성명 등 기본정보를 알게 됐고, 이를 악용해 무단으로 조회한 것 같다고 설명했다.

현재 해당 홈페이지에 접속해 입사지원/합격자 확인을 클릭하면 수험번호, 성명, 비밀번호 등 3개의 사항을 정확하게 입력해야만 확인이 가능하다. 처음에는 합격자를 확인할 수 있는 이 창에서 수험번호와 성명만 입력을 하면 곧바로 조회가 가능했지만, 6월 4일 제보를 받은 직후, 추가 조치를 통해 비밀번호까지 입력하도록 시스템을 개선했다.

거제시 관계자는 “홈페이지 운영 외주 회사에 상세한 로그 기록이나 불법적인 접속으로 의심되는 기록을 추가로 달라고 요청해 놓았고, 다음 주까지 제출을 요구했다”며 “아직 어느 정도 노출이 됐는지, 어떤 개인정보 항목이 노출됐는지 전혀 알 수는 없지만 320명 응시자 모두의 개인정보가 한꺼번에 노출됐을 가능성은 없는 것으로 보인다”고 말했다.

현재 거제시 통합채용 홈페이지를 구축하고 관리하는 회사는 이번에 공공기관 통합채용을 위해 입찰을 거쳐 용역을 맡기게 됐으며, 거제시와는 처음으로 협업을 하게 된 업체다. 해당 홈페이지 관리 기업도 관련된 채용이 모두 끝나면 채용 홈페이지에 입력된 개인정보는 모두 삭제, 폐기하고 홈페이지도 서비스를 중단하게 된다.

거제시 통합채용 홈페이지는 입사지원 과정에서는 아이디와 비밀번호 등 2개 항목만 입력하면 로그인이 가능했지만, 개선 조치가 완료된 이후 합격자 확인을 위해서는 이름, 수험번호, 비밀번호 등 총 3개 항목을 입력해야만 확인이 가능하다. 그 외에 홈페이지 자체에 취약점이 있는 것으로 파악되지는 않았다는 게 거제시 측의 설명이다.

특히 홈페이지에 입사지원을 할 때는 기본 개인정보 입력과 함께 추가로 과거 재직한 회사명, 운전면허증을 포함한 보유 자격증 등은 별도의 첨부파일로 입력하도록 시스템을 구성했다. 이렇게 첨부파일로 업로드 된 파일도 노출됐을 가능성이 있다고 설명했다.

거제시 관계자는 “다음 주에 용역업체가 추가로 보내오는 로그 기록 등 관련 자료를 분석해서 실제 개인정보가 유출됐는지 여부를 확정해 홈페이지에 다시 공지할 계획”이라며, “현재 해당 사실을 인지한 직후 한국인터넷진흥원에 신고했다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 인텔리빅스

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 한국씨텍

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 디비시스

    • 다후아테크놀로지코리아

    • (주)우경정보기술

    • 투윈스컴

    • 세연테크

    • 위트콘

    • 구네보코리아주식회사

    • 유에치디프로

    • 넥스트림

    • 주식회사 에스카

    • 포엠아이텍

    • 에이티앤넷

    • 세렉스

    • 한국드론혁신협회

    • 네이즈

    • 이노뎁

    • 다누시스

    • 시만텍

    • 테이텀시큐리티

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 사라다

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에이앤티코리아

    • 유투에스알

    • 태정이엔지

    • 네티마시스템

    • 에이치지에스코리아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 미래시그널

    • 두레옵트로닉스

    • 엘림광통신

    • 에스에스티랩

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 모스타

    • 지와이네트웍스

    • 보문테크닉스

    • 엔에스티정보통신

    • 메트로게이트
      시큐리티 게이트

    • 포커스에이치앤에스

    • 엔시드

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기