[단독] 서울시 '전자투표 활성화 시범사업' 우협 업체서 개인정보 유출…시작 전부터 '삐걱'

조합원 개인정보·투표결과 담긴 엑셀파일 외부 노출
업체 선정 평가서 '개인정보 보호' 항목 배점 15점에 그쳐

▲서울 강동구 명일동 삼익그린맨션2차 조합원들의 인적 사항이 담긴채 유출된 엑셀 파일. (출처=독자 제공)

서울시가 정비사업 총회의 비용 절감과 참여 확대, 신뢰성 제고를 위해 추진 중인 '정비사업 조합 전자투표 활성화 시범사업(이하 전자투표 활성화 시범사업)'이 시작도 전에 잡음이 일고 있다. 사업의 핵심인 전자투표 서비스 제공업체에서 개인 정보가 유출됐지만 이 업체가 우선협상 대상자로 선정되면서다. 전문가들은 업체 선정을 위한 입찰 배점 역시 부족하다고 지적하고 있다.

26일 본지 취재를 종합하면 전자투표 활성화 시범사업 우선협상대상자인 'R사'가 서비스를 제공 중인 '삼익그린맨션2차' 재건축 사업에서 조합원 전자투표 결과와 개인정보가 유출되는 사건이 발생했다.

최근 서울 강동구 명일동 삼익그린맨션2차 재건축조합은 R사의 전자투표 어플리케이션(앱)을 이용해 총회 투표를 진행했는데 조합원들의 투표결과와 개인 인적사항이 담긴 파일이 유출됐다.

R사에 따르면 퇴직자인 A씨가 총회 전날 투표 조작을 시도하기 위해 외부에 노출되지 않은 관리자(admin) URL을 통해 관리시스템에 불법적으로 접속했으나, 투표지에 접근하지 못했다. 하지만 이 과정에서 조합원의 개인정보와 투표 결과가 담긴 엑셀 파일을 탈취했다. 레디포스트는 투표 결과 등을 조합에 사전 유출하거나, 해킹 당한 일은 없으며 총회 결과 역시 이상이 없다고 해명했다.

R사 관계자는 "투표지는 공인 인증기관에 기록 및 보관돼 위변조가 불가능하다"며 "현재 유출자를 특정해 개인정보 유출 등의 혐의로 강남 경찰서에 수사를 의뢰한 상태"라고 말했다.

전자투표 활성화 시범사업은 정비사업 조합 운영에 전자적 의결방식(온라인 총회·투표) 도입을 촉진하기 위해 조합에 전자투표 서비스 제공하고, 향후 활성화 방안을 도출하는 사업이다. 서울시는 지난달 30일 이 사업의 용역 업체 입찰공고를 내고, 이달 10일까지 접수를 받았다. 이후 경쟁 입찰 및 평가위원회 심사를 거쳐 레디포스트를 우선협상대상자로 선정했다.

서울시는 이 사업을 통해 올해 하반기 총회 개최 예정인 조합 10~15곳을 레디포스트와 매칭하고, 전자투표 시행 비용의 50%(최대 1000만 원)를 지원할 예정이지만, 부실한 보안으로 조합원들의 피해가 발생하면서 업체 선정 적정성 및 정상적 사업 추진과 관련된 논란이 예상된다.

실제로 해당 업체 퇴직자가 투표 결과에 접근하는 등 보안상의 취약점이 드러나면서 조합원들의 혼란은 몰론이고 사업 자체의 신뢰도에도 의문이 제기되고 있다. 이에 대해 서울시 관계자는 "시범사업 용역 업체의 개인정보 유출 등의 문제가 발생할 경우 관리감독자로서 적절한 조치를 취할 것"이라고 말했다.

▲서울시 전자투표 활성화 시범 사업 평가 항목 및 배점표. (자료제공=서울시)

하지만 개인정보 보안 등 기술적 평가에 대한 서울시의 검증이 충분하지 않았다는 지적이 나온다.

실제로 서울시가 공개한 정비사업 활성화 시범사업 제안요청서를 보면, 관련 평가기준 및 배점은 △기술능력평가(80점) △입찰가격평가(20점)의 총 100점으로 구성됐다. 기술능력평가는 다시 △정량적 평가(10점) △정성적 평가(70점)으로 구분되는데, 이 중 전자의결서 위·변조 방지, 본인인증방법 및 개인정보 보호대책 제시 등을 평가하는 '과업수행시 안전성 확보계획' 항목의 배점은 15점에 그친다. 이는 입찰 가격에 책정된 비중 20점 보다도 낮은 배점이다.

평가위원 중 보안 관련 전문가 비중이 적은 점도 아쉽다는 지적이다. 심사위원은 대학교 소속 3명, 노원구, 정비사업 전문업체 관계자 4명 등 총 7명으로 구성됐다. 대학교 소속 인원이 모두 보안관련 전문가라고 가정하더라도, 과반을 넘기지 않는다.

여기에 입찰 업체당 제안서 설명시간이 15분 내외(제안설명 10분, 질의응답 5분)에 그치도록 계획돼 충분한 검증이 어려웠을 것이란 게 전문가들의 진단이다.

한 정보보호학과 교수는 "전자투표는 본인 인증을 거친 개인 정보가 담기기 때문에 보안이 가장 중요하다. 때문에 관련 용역 업체 선정시 정성평가가 70점이라면, 보안 항목 배점을 절반 이상으로 두거나, 평가위원 중 전문가 비중을 늘리는 방식으로 평가를 진행하는 것이 권장된다"고 말했다.