침해사고/위협동향

도 넘은 기업들 개인정보보호 부실··· 포털에 자소서·면허증이 고스란히?

이종현
입사를 위해 제출한 개인정보 및 자료 전반이 공개됐다. 인적사항과 경력, 자기소개서에 더해 첨부한 면허증 등도 다운로드받을 수 있었다. /제보
입사를 위해 제출한 개인정보 및 자료 전반이 공개됐다. 인적사항과 경력, 자기소개서에 더해 첨부한 면허증 등도 다운로드받을 수 있었다. /제보
[디지털데일리 이종현기자] 지난 연말부터 곳곳에서 개인정보 유출 정황이 확인되는 가운데 관련 제보도 이어지고 있다. 기업들의 부실한 보안이 도를 넘었다는 지적이 제기된다.

7일 <디지털데일리> 취재에 따르면 한국산업단지공단이 전액 출자한 기업에서 개인정보 유출이 발생한 것으로 확인됐다. 공개채용 과정에서 입사지원 항목이 고스란히 노출된 경우다.

제보자 A씨에 따르면 유출된 정보는 ▲이름 ▲생년월일 ▲주소 ▲전화번호 ▲이메일 주소 ▲경력사항 ▲자격·면허 ▲증빙자료(자격증 및 면허증) ▲자기소개서 등 입사지원에 필요한 항목 일체다. 최소 100여명 이상의 정보가 보안 조치 없이 공개됐다.

A 씨는 홈페이지 로그인 없이 해당 정보에 접근할 수 있음을 동영상으로 촬영해 제보했다. 해당 영상에는 기업 홈페이지에 로그인돼 있지 않다는 것을 증명하기 위해 인터넷 기록과 쿠키 등을 모두 제거한 뒤 접속, 입사지원 항목 열람이 가능하다는 내용을 담았다. 이때가 12월 19일이다.

개인정보 유출 건이 수면 위로 드러난 것은 12월 29일이다. 해당 기업은 1월 2일 사과문을 통해 “10월 이후 당사 홈페이지를 통해 입사지원한 지원자들의 개인정보가 특정 URL 접속경로를 통해 유출됐음을 확인했다. 특정 개인이 URL 접속경로를 지원자 중 일부에게 메시지를 전달해 유출 사실을 인지했다”고 입장을 밝혔다.

이어서 “당사는 유출 사실을 인지하고 즉시 해당 URL 접속경로를 차단했고 검색사이트를 통해 더 이상 피해가 발생하지 않도록 지속적으로 모니터링을 하고 있다. 이와 같은 노력에도 개인정보가 유출돼 피해가 발생할 경우 필요한 조사를 거쳐 구제절차를 진행하겠다”고 전했다.

그러나 사과문을 게재한 이후에도 논란은 이어지는 중이다. 특히 문제를 키운 것은 해당 정보가 포털 검색엔진을 통해 열람 가능했다는 점이다. 사과문을 올린 이후에도 일부 정보가 포털에 색인돼 이름, 생년월일, 주소, 연락처 등을 확인할 수 있었는데, 6일 오후 5시 기준으로는 해당 정보를 찾을 수 없게 됐다.

또다른 기업에서도 유사한 방식으로 개인정보 유출이 이뤄졌다. 인기 대만 음식 프랜차이즈 업체의 회원 정보가 공개된 것이다. 별도의 로그인 절차 없이 관리자 페이지에 접근 가능했는데, 이를 통해 회원 리스트의 ▲아이디 ▲이름 ▲성별 ▲전화번호 ▲이메일주소 ▲카드번호 ▲집주소 등이 노출됐다.

제보자 B 씨는 <디지털데일리>에게 “최근 검색엔진에서 검색하다가 우연히 기업들의 관리자 페이지가 검색되는 것을 목격했다. 로그인 없이 페이지에 접속해도 고객정보가 보여지고 있었다. 몇몇 곳은 메일로 연락하니 조치하긴 했으나 대다수는 변함이 없다. 건수가 많은 곳도 있어서 제보한다”고 말했다.

6일 오후 5시 기준으로 제보받은 업체의 관리자 페이지는 접속이 차단된 상태다. 다만 특정 검색엔진을 통해 일부 회원의 이름, 성별, 전화번호, 카드번호, 주소 등이 노출돼 있다.

이와 관련 개인정보보호위원회(이하 개인정보위)는 각 사안에 대해 유출 신고가 됐는지조차 알려줄 수 없다는 입장이다. 실제 유출이 있었던 것은 확인됐다고 말했으나 “유출 여부를 확인해준다면 사업자에게 과도한 부담을 줄 수 있다”는 입장을 내비쳤다. 일반 국민의 개인정보보호보다는 사업자들의 부담을 먼저 신경쓰는 듯한 모양새다.

만약 제보자가 <디지털데일리>에 제보 전에 신고 절차를 거치지 않았다면 ‘유출은 있었으나 없었던 일’이 될 수 있다. 제보자가 관련 기관에 신고했기를, 혹은 개인정보위가 문의 및 기사를 바탕으로 조사에 착수하기를 기대해야 하는 상황이다.

한편 지난 연말부터 개인정보 유출 사건이 끊이지 않고 있다. 일반인이 접근하기 어려운 해킹포럼, 텔레그램을 통한 유출뿐만 아니라 흔히들 사용하는 포털 검색엔진에서도 민감한 개인정보가 노출되는 황당한 일이 벌어지고 있다. 개인정보를 관리하는 기업·기관들의 주의가 요구되는 상황이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널