연말정산을 하기 위한 국세청 홈택스 서비스가 보안 허점으로 개인정보가 유출된 것으로 확인됐다. 가족관계와 의료비, 카드사용금액 등 연말정산 공제자료에 담긴 민감한 개인정보가 유출돼 파장이 클 전망이다. 국세청은 이들에게 개별통보 하고 재발방지책 마련에 나섰다.
국세청은 연말정산 편의를 위한 간소화 서비스가 시작된 뒤 로그인 과정에서 문제가 생겨 821건의 개인정보가 유출됐다고 27일 밝혔다. 국세청은 이들에게 개별통보 하고 다른 사례가 있었는지에 대해서도 조사 중이다.
연말정산 간소화 서비스는 지난 15일 오전 6시에 개통했다. 국세청은 간소화 서비스에서 공동인증서나 민간인증서로 로그인해 이용할 수 있도록 했고, 올해는 기존 카카오톡·통신 3사 PASS·페이코·삼성패스·KB국민은행 5종에 네이버·신한은행 2종이 추가됐다.
하지만 민간인증서 2종을 새로 적용하는 과정에서 인증기관 연결용 프로그램에 결함이 발생했다. 로그인 절차 과정에서 본인 인증과 인증서 간 일치 여부를 검증하는 단계가 누락됐다. 이 과정에서 이름과 주민등록번호만 알면 타인이 다른 사람의 인증서로 로그인하는 것이 가능했다.
오류는 15일 오전 6시 간소화 서비스 개통 시점부터 발생했고, 국세청은 오류 사실을 18일에야 인지해 당일 오후 8시부터 3시간가량 민간인증서 로그인을 차단한 뒤 수정했다. 사흘간 개인정보 노출 피해가 발생한 것이다.
국세청은 시스템 오류가 있던 기간 로그인 기록을 모두 분석한 결과, 이용자 인적 사항과 인증 시 인적 사항이 다른 사례가 821건이라고 밝혔다. 다른 사람의 이름과 주민등록번호를 적어넣고 자신의 인증서로 로그인해 자료를 조회한 사람이 821명이었다.
국세청은 개인정보보호법과 표준개인정보보호지침에 따라 5일 이내에 타인에 의해 자료가 조회된 821명에게 서면이나 이메일, 전화 등을 통해 개인정보 노출 사실을 개별 통지하기로 했다.
개별 통지에는 사과문, 타인에 의해 조회된 자료 내역, 개인정보 노출 시점, 향후 조치 방안, 피해 구제 절차 등을 포함할 계획이다.
아울러 외부전문가가 참여하는 개인정보보호검증 태스크포스(TF)를 구성해 이번 사건을 포함한 전산시스템 전반에 대한 개인정보 보호·관리 실태를 점검하고 재발 방지책을 준비할 방침이다.
국세청은 "이번 사건이 발생한 데 대해 납세자 여러분께 진심으로 사과드린다"며 "사안의 심각성을 깊이 인식하고 앞으로 이런 일이 재발하지 않도록 각고의 노력을 기울이겠다"고 밝혔다.