국세청 '홈택스' 문제 항목 개선…"납세자 편의위해 도입" 불구,
금융사의 대규모 개인정보 유출 파문 불똥이 정부 정보망까지 튀었다. 국민 편익을 위해 제공하고 있는 일부 정부 전산망의 보안 취약성이 제기된 것. 논란이 불거질 기미가 보이자 관련 부처에서는 부랴부랴 조치를 취하는 해프닝이 연출됐다.
국세청이 사업을 영위하는 납세자들의 신고 및 납부 편의를 위해 고안한 인터넷 사이트 '홈택스(www.hometax.go.kr)'와 국민연금공단의 '4대사회보험 정보연계센터'가 도마 위에 올랐다.
23일 일부 매체에서는 홈택스 및 4대보험 정보센터 이용자들의 제보를 토대로 정부 정보망도 개인 정보 보안이 취약하다는 보도를 내보냈다.
국세청이 서비스하는 홈택스의 사업자 정정신고 메뉴에서 노출된 보안 취약성이 주요 타깃이 됐다. 그동안 국세청의 개인정보 보안 관리는 탄탄한 것으로 알려져 있었다.
그러나 사업자 정정신고를 위해 로그인 한 후 대표자 명의 변경을 신청하는 과정에서 타인의 개인정보를 알 수 있는 허술함이 발견됐다.
사업자가 대표자 명의를 바꾸기 위해선 국세청에 신고절차를 거쳐야 한다. 그동안은 세무대리인이나 업체 관계자가 직접 세무서를 찾아가야만 새로운 대표자 변경이 가능했다.
국세청은 신고자들의 편의를 위해 지난해 11월부터 세무서에 직접 찾아오지 않아도 새로운 대표자의 주민번호만 알면 신고할 수 있는 메뉴인 사업자 정정신고 서비스를 시작했다.
새로운 대표자의 주민번호를 신고자가 입력하면 자동으로 이름이 뜨도록 해, 주민번호와 이름이 맞으면 세무서의 확인 절차를 거쳐 대표자 명의 변경이 가능하도록 시스템을 설계했다.
이 과정에서 주민번호 기재란에 그럴 듯한 번호를 조합해 입력, 실제 그 주민번호를 가진 사람이 존재하면 아무 관계도 없는 다른 사람의 실명을 알 수 있다는 사실이 홈택스 이용자들에 의해 발견된 것. 결과적으로 타인의 주민번호와 이름을 알 수 있게 되는 셈이 된다. 조회되는 주민번호는 전 국민이 대상이다.
홈택스에 아무나 들어갈 수 있는 것은 아니다. 사업자 등록증이 있어야 하고 법인 공인인증서를 통한 검증 절차도 거친다. 그렇다고 홈택스 로그인 제한이 엄격하게 유지된다고 볼 수는 없다. 사업자 등록과 법인 공인인증서는 대한민국 국민이면 누구나 가질 수 있기 때문이다.
독자들의 PICK!
나쁜 마음을 먹고 사업자 등록증과 법인 공인인증서를 만들어 이미 해커들에게 광범위하게 퍼진 주민번호 생성기로 얼마든지 홈택스서 주민번호와 매치되는 사람의 이름을 알아낼 수 있다는 의미다.
물론 이름과 주민번호만으로 할 수 있는 것은 제한적이다. 문제는 기본적인 개인 정보로 다른 국가 혹은 금융사 전산망을 통해 꼬리에 꼬리를 물고 더 '디테일' 한 정보에 접근할 수 있다는 것.
국민연금의 4대보험 정보센터가 국세청 홈택스와 함께 도마 위에 오른 것도 이 같은 이유다. 국세청 홈택스에서 알아낸 이름과 주민번호를 4대보험 정보센터에 입력하면 주소까지 알 수 있다. 이름과 주민번호와 주소를 알면 또 다른 정보를 알아내는 것은 시간문제다.
정보 유출 가능성을 접한 국세청은 생각지도 못한 상황에 당혹스러워 하면서도 언론 보도 내용이 과도하다는 반응이다.
국세청 관계자는 "납세자 편의를 위해 도입된 것인데 이런 문제점이 발견될 줄은 몰랐다"며 "언론사에 납세자의 제보가 있었던 것으로 아는데 제보자가 민원을 통해서도 해결할 수 있었던 사안"라고 말했다.
실제로 국세청은 전날 언론의 관련 취재가 진행되자 1시간여 만에 주민번호만 입력하면 됐던 대표자 정보 조회를 주민번호와 이름을 동시에 입력해야 알 수 있도록 개선했다.
이와 함께 국민연금공단도 이름과 주민번호 외에 주소 등의 다른 정보를 추가로 입력해야 개인 정보를 조회할 수 있는 방안을 검토 중이다.
