국세청이 27일 홈택스 연말정산 간소화 서비스 오류 조사 결과를 발표했다
국세청 홈택스 연말정산 간소화 서비스 보안 허점으로 821명의 개인 정보가 다른 사람에게 노출된 것이다.
어쩌다 이런 오류가??
이번 간소화 서비스는 공동 인증서나 민간 인증서로 로그인해 이용할 수 있는데, 올해는 이용 가능한 민간 인증서가 기존 카카오톡·통신 3사 PASS·페이코·삼성패스·KB국민은행 5종에 네이버·신한은행 2종이 추가됐다.
그런데 민간인증서 2종을 새로 적용하는 과정에서 인증기관 연결용 프로그램에 결함이 발생했다.
로그인 절차는 '이용자 성명과 주민등록번호 입력', '인증 요청 및 회신 등 간편 인증', '이용자 인적 사항과 인증 시 인적 사항 일치 여부 검증'의 단계로 진행되는데, 이 중 일치 여부를 검증하는 단계가 누락된 것입니다.
이 때문에 A의 이름과 주민등록번호를 입력한 뒤 B의 인증서로 인증을 해도 로그인이 완료되는 오류가 나타났다.
다른 사람의 이름과 주민등록번호만 알게 되면 로그인해 가족관계, 의료비 지출, 카드 사용 금액 등 연말정산 자료를 모두 조회할 수 있게 된 것이다.
국세청은 개인정보보호법과 표준개인정보보호지침에 따라 5일 이내에 타인에 의해 자료가 조회된 821명에게 서면이나 이메일, 전화 등을 통해 개인정보 노출 사실을 개별 통지하기로 했다고 밝혔다.
개별 통지에는 사과문, 타인에 의해 조회된 자료 내역, 개인정보 노출 시점, 향후 조치 방안, 피해 구제 절차 등을 포함한다고 하며 유사 사례 재발 방지 대책도 마련하겠다고 말하며 "이번 사건이 발상한 데 대해 납세자 여러분께 진심으로 사과드린다"며 "사안의 심각성을 깊이 인식하고 앞으로 이런 일이 재발하지 않도록 각고의 노력을 기울이겠다"라고 밝혔다.
가족관계, 의료비, 카드사용금액 등 연말정산 공제자료에 담긴 민감한 개인정보가 노출된 사건이라 파장이 클 것으로 예상된다.