• 인쇄
  • 전송
  • 보관
  • 기사목록

연말정산 카카오톡, 통신사 간편 인증서로 로그인 했더니, 개인 ‘연말정산 자료’ 타인에게 유출될 뻔…

국세청 관계자, “임시 홈페이지 제작 시 소유자 일치 여부 알고리즘 생략돼” 해명

  •  

cnbnews 양창훈⁄ 2022.01.21 11:19:10

2021년 연말정산 홈페이지를 접속하기 위해서 신청자는 개인정보 인증 절차를 걸쳐야 한다. 사진 = 국세청 홈페이지

국세청의 연말정산 간소화 홈페이지가 15일부터 나흘 동안 이름과 주민등록번호만 알면 타인의 연말정산 자료들을 확인할 수 있었던 것으로 밝혀졌다. 연말정산 자료에는 의료기록, 신용카드 사용액, 가족관계 등 민감한 개인정보들이 포함되어 있다.

동아일보는 20일 “‘국세청 홈택스 연말정산 간소화’ 홈페이지가 오픈된 시간인 15일 오전 6시부터 보안에 허점이 있었다. 원칙대로라면 (연말정산) 신청자의 이름과 주민등록번호 입력 후에 본인의 인증서로만 로그인을 할 수 있다. 하지만 신청자의 주민등록번호를 입력 후, 타인의 인증서를 사용해도 로그인이 됐다”고 보도했다.

 

이 문제는 카카오톡과 통신사 등 7가지 민간 간편 인증서를 사용할 때만 발생했다. 공동·금융인증서로 로그인할 때는 문제가 발생하지 않았다.

이를 발견한 보안 전문가들은 국세청에 “동의를 구하고 타인 명의로 시험해 봤더니 로그인이 됐다. 문제가 심각하다”고 말하며 대응책을 요구했다. 국세청은 지난 18일 오후 8~11시에 이용자 접속을 전면 차단, 개선작업을 한 것으로 알려졌다.

이번 보안 사고의 경우, 국세청이 연말정산 간소화 홈페이지에 인증 수단을 추가하는 과정에서 프로그램 설계 오류로 발생한 것으로 알려졌다.

국세청 관계자는 동아일보에 “이용자 편의를 위해 별도 가입 없이 본인 인증만 하면 로그인 할 수 있는 임시 홈페이지를 만들었다. 여기에 간편 인증서를 추가하는 과정서 오류가 생겼다. 이름과 주민등록번호, 간편인증서 소유자의 일치 여부를 검증하는 알고리즘이 생략됐다”며 “(지금까지 검증이 진행된) 15일과 16일 자체 자료에서는 타인의 계정 로그인 사례는 발생하지 않았다”고 해명했다.

이번 사건과 관련해 네티즌들은 “이걸 그대로 믿는 사람이 있어? 특정 기업들 개인정보 유출될 때마다, 유출 피해 없다고 했다. 이미 유출됐다”, “국세청장이 책임지고 사표 써라”, “이미 유출됐다. 나는 개명했는데, 개명 전 이름으로 보이스피싱 전화 오고 있다”, “세금 그렇게 많이 뜯어 갔으면 서버 개선 좀 해라. 연말에 뭐하고 1월에 서버 점검이냐”, “국세청 다 감봉시켜라. 책임도 안 지고 돈이나 뜯어 갈 생각”, “살다 살다 국가 기관에서 개인정보 퍼가라고 하는 거, 처음 듣는다” 등의 댓글을 남기며 국세청 관계자들의 징계를 요구했다.


▲ CNB저널, CNBJOURNAL, 씨앤비저널, 문화경제
관련태그
국세청  연말정산  국세청 연말정산  연말정산 사이트  카카오톡 연말정산 간편인증

배너
배너

많이 읽은 기사

배너
배너
배너
배너
배너
배너
배너