로그인 접속 오류로 타인에 의해 연말정산 자료가 조회되는 사례가 발생했다. 연합뉴스
연말정산 시스템 허점으로 타인의 정보가 조회되는 오류가 발생했다. 세무당국은 오류 발견 후 시스템을 보완했지만, 이미 일부 개인정보는 다른 사람이 조회하고 난 뒤였다.
27일 국세청은 연말정산 간소화 시스템 로그인 접속 문제로 821명의 개인 자료가 타인에 의해 조회됐다고 밝혔다. 연말정산 간소화 시스템은 이름·주민등록번호 같은 이용자 인적사항을 먼저 입력한 뒤, 인증서를 통해 본인인증을 추가로 하면 인증기관이 이를 확인해 로그인할 수 있다.
하지만 간편인증으로 로그인하는 과정에서 이용자 인적사항과 간편인증 상 인적사항이 일치하는지 시스템이 검증하지 못하는 사례가 발생했다. 이 때문에 다른 사람의 인적사항을 먼저 입력한 뒤 인증서는 본인의 것으로 인증해도 타인의 연말정산 자료 조회가 가능했다. 국세청은 “연말정산 간소화 시스템 로그인을 위해 민간인증서 2종(네이버·신한은행)을 추가하는 과정에서 본인인증을 위한 연결용 프로그램에 결함이 발생한 것으로 파악하고 있다”고 설명했다.
연말정산 로그인 시스템 절차. 국세청
이 같은 로그인 오류는 인터넷 커뮤니티를 통해 먼저 알려졌다. 타인의 인적 사항을 알면 다른 사람 인증서로도 로그인이 가능하다는 내용이었다. 국세청과 시스템 관리업체가 지난 18일 뒤늦게 관련 사실을 파악하고, 오후 8시에 해당 프로그램 접속을 차단했다. 같은 날 오후 11시 프로그램 결함을 해결한 뒤 서비스를 다시 시작했다. 하지만 이미 821명이 이 같은 방법으로 타인의 연말정산 자료를 보고 난 뒤였다.
연말정산 자료는 소득은 물론 신용카드·병원비 지출 내용 등 민감한 개인 정보를 담고 있어서 악용될 소지가 크다. 국세청은 개인정보보호법 등에 따라 타인에 의해 연말정산 정보가 조회된 821명에 대해 관련 사실을 개별 통지할 예정이라고 밝혔다. 다만 실제 피해 구제까지 받기 위해서는 별도 절차를 거쳐야 한다. 개인 정보 유출 사실이 확인되면개인정보보호위원회에 분쟁 조정 신청을 할 수 있다. 여기서도 해결이 되지 않으면 별도 법적 소송을 해야 한다. 국세청 관계자는 “로그인 오류가 일어나도 다른 사람의 연말정산 자료를 보려면 주민등록번호 같은 타인의 인적 사항은 알고 있어야 하므로 대부분의 조회 사례는 지인이나 가족에 의해서 발생하지 않았을까 추정하고 있다”면서 “그런 사례가 아니라 실제 개인 정보가 유출됐다면 따로 구제 절차를 밟아야 한다”고 했다.
국세청은 향후 원천적으로 오류가 발생하지 않도록 인증요청 단계에서 로그인 정보를 변경할 수 없게 보완 조치하고, 로그인 시 본인인증 결과를 체계적으로 사후 관리 할 수 있게 시스템을 개선할 방침이다. 또 과거에도 이 같은 사례가 없었는지 검증할 계획이다. 외부전문가가 참여하는 ‘개인정보 보호 태스크포스(TF)’도 구성해 이번 사건은 물론 전산시스템 전반에 대한 개인정보 보호·관리 실태를 점검하고 개선 대책을 세울 예정이다.
