4대보험 전산망에 주민번호·주소 노출…"알만한 사람은 다 알아"

국세청·국민연금 전산망도 '구멍'

기자 이름 입력하니 민감정보 줄줄이 나와
법인 전용 웹페이지에 일반인 정보 떠다녀
명의 도용·대포폰 개설 등 2차 범죄 무방비

홈택스와 4대사회보험 정보연계센터 홈페이지의 허술한 개인정보 관리 실태는 서울 강남에 있는 한 회계사무소의 제보로 드러났다. 한 회계사가 고객사의 대표자 명의 변경을 위해 주민등록번호를 입력한 순간 옆 칸에 자동으로 사람 이름이 떴다는 것. 이어 자신의 주민번호를 입력하자 본인 이름이 나왔고, 아내와 아이의 주민번호를 넣자 정확한 실명이 떴다.

◆개인정보 유출 무방비

회계사가 놀란 것은 이뿐만이 아니었다. 4대사회보험 전산망에 주민번호와 이름을 입력했더니 모든 사람의 주민등록상 주소지가 바로 검색됐다. 그는 “최근 이사를 한 친구의 정보를 입력했더니 새 주소도 바로 나오더라”며 “정부기관 홈페이지를 이렇게 허술하게 방치해도 되는 것이냐”고 말했다.

가장 큰 문제는 법인 공인인증서가 깔려 있는 PC만 있으면 누구나 홈택스(hometax.go.kr)와 4대사회보험 정보연계센터(4insure.or.kr) 전산망에 들어가 모든 국민의 실명과 주민번호, 주민등록상 주소지를 한꺼번에 파악할 수 있다는 점이다. 법인 명의로 들어갔는데 모든 자연인의 정보를 알아낼 수 있다는 점도 의아스러운 대목이다.

홈택스 사이트에서 법인 공인인증서로 로그인한 뒤 메인화면 상단 좌측 메뉴에서 ‘세무서류신고·신청’을 누르면 사업자정정신고(법인) 서비스를 이용할 수 있다. 법인 대표자를 변경해 사업자등록증을 온라인으로 바꿀 수 있는 서비스다. 사업자정정 신고창에서 법인 대표자 정보 입력란에 111111-3333333 같은 번호를 입력하면 ‘주민등록번호를 확인해주세요’라는 메시지가 뜨지만 어떤 주민등록번호든 살아 있는 사람의 번호를 입력하면 바로 이름이 뜬다.

주민번호DB(데이터베이스)와 연계돼 실시간으로 실명을 확인해주는 셈이다. 법률회사인 테크앤로의 구태언 대표변호사는 “오입력을 방지하도록 주민번호DB와 연동한 것 같은데 결과적으로 개인정보가 노출되는 위험한 상황을 초래한 셈”이라며 “당사자의 동의 없이 주민번호의 제3자 제공을 막는 개인정보보호법 17조 또는 18조에 저촉될 소지도 있다”고 지적했다.

해커 출신 보안전문가인 박찬암 라온시큐어 보안기술연구팀장은 “이론적으로는 홈택스 사이트에서 임의의 13자리 번호를 넣는 프로그램(주민번호생성기)을 자동으로 돌려 불특정 다수의 주민번호와 실명을 확보하는 것이 가능하다”고 말했다.

◆범죄에 악용 우려

주민번호와 이름을 알아내면 4대사회보험 사이트에서 국민연금 사업자 가입창을 열고 당사자의 현 거주지까지 확인할 수 있다.

이렇게 얻은 정보는 다양한 범죄에 악용될 수 있다. 주민번호와 이름, 주민등록상 주소지가 있으면 각종 웹사이트에 차명으로 회원가입이 가능하며 중고물품 거래시 신분을 속일 수 있다. 대포폰을 만들어 인터넷·모바일 환경에서 다른 사람 명의로 결제도 할 수 있다.

개인정보가 불법 심부름센터에 넘어가면 주거지를 노출당해 절도 강도 납치 등과 같은 범죄의 표적이 될 가능성도 있다. 휴대폰 번호 등 추가 정보를 확보하면 보이스피싱이나 스미싱 범죄도 저지를 수 있다. 경찰청 관계자는 “이름과 주민번호, 주소 자체는 몇 개의 글자와 숫자에 불과하지만 해커 등 범죄집단이 이를 악용할 수 있는 공간은 무궁무진하다”고 지적했다.

◆보안전문가 “공공전산망 재점검해야”

국세청은 본지가 확인을 요청하기 전까지 홈택스의 보안 취약점에 대해 전혀 모르고 있었다. 하지만 이미 트위터 등 소셜네트워크서비스(SNS)에서 ‘주민등록번호, 국세청’ 등 키워드를 입력하면 정보가 빠져나가는 과정이 담긴 동영상 등을 쉽게 찾을 수 있을 정도로 관련 정보가 인터넷을 떠돌아다니고 있는 실정이다.

국세청 관계자는 “여러 정보를 입력하게 하면 이용자들이 불편해할까봐 처음에 그렇게 만들었다”고 해명했다. 이 관계자는 “한국경제신문의 보도를 보고 즉각 전산 관계자들을 소집해 문제가 된 시스템을 삭제했다”고 덧붙였다.

보안 전문가들은 “해커들은 이미 이런 문제를 알고 있었다”며 이미 상당한 정보가 유출됐을 가능성을 우려하고 있다. 해커 출신의 한 보안업체 개발팀장은 “홈택스를 포함해 정부 사이트 몇 군데에서 이 같은 문제점이 발견돼 수년 전부터 시스템을 고쳐야 한다는 제안을 했지만 시스템 구조상 어렵다는 답변만 돌아왔다”고 말했다.

한 인터넷기업 관계자는 “정부가 개인정보 대량 유출을 야기한 금융사들을 상대로 엄중 문책을 강조하고 있지만 정작 자신들의 보안시스템은 제대로 점검조차 하지 않고 있는 것 아니냐”고 꼬집었다.

임원기/박상익/김보영 기자 wonkis@hankyung.com