20호 기획

공공기관 홈페이지 33% 주민등록번호 노출

지문날인반대연대와 정보인권활동가모임이 공동으로 조사를 진행한 공공기관 홈페이지 주민등록번호 노출 실태 1차 조사 결과, 100개 국가 중앙 공공기관 홈페이지 중에서 33개의 홈페이지에서 주민등록번호가 노출되어 있는 것으로 드러났다. 이 조사가 대상으로 한 홈페이지는 대통령직속기구(13개), 국무총리직속기구(6개), 정부 4처 18부 17청(39개), 사법부(3개), 입법부(3개), 중앙선관위(2개), 독립위원회(2개), 군(5개), 기타 대민 행정을 주로 하는 하위 부처와 공단 공사 등 27개 총 100개 공공기관 홈페이지로서 주요 국가 중앙 기관들은 거의 대부분 포함되어 있다. 다음의 <표>는 이 중에서 주민등록번호가 노출된 페이지가 발견된 기관들의 목록이다.

최초의 전면적이고 체계적인 실태 조사

이 조사는 일종의 웹사이트 품질관리 프로그램인 (주)우리인터넷의 쿨첵 엔터프라이즈 솔루션을 이용했다. 이 솔루션은 각 홈페이지에서 첫 화면을 시작으로 링크되어 있는 페이지들을 차례로 검색하고, 이 중에서 주민등록번호와 같은 패턴의 문자열을 추출할 수 있는 것으로 알려졌다. 이러한 방식은 모든 주민등록번호를 일괄적으로 찾아낼 수 있기 때문에, 검색엔진에 특정 주민등록번호를 입력해서 검색하는 기존의 방식이 할 수 없었던 전면적이고 체계적인 조사가 가능한 장점이 있다.



▲유형 1 : 사용자가 입력한 주민등록번호 방치
▲유형 2 : 실명 게시판 등에서 수집한 주민등록번호 노출
▲유형 3 : 공공기관이 공지사항 등을 통해서 직접 특정인의 주민번호 노출
▲유형 4 : 시스템 에러, 관리 태만 등으로 관리자 화면이 노출된 경우
▲유형 5 : 검색엔진 등에 의한 노출

---

사용자가 입력한 주민등록번호 방치

주민등록번호가 노출된 경우 중에서 가장 많이 발견된 것은 사용자가 게시판에 입력한 자신 또는 타인의 주민등록번호를 관리자가 방치한 경우다. 개인이 직접 주민등록번호를 게시하는 이유는 진정, 고소, 고발, 각종 민원상담, 홈페이지 이용문의 등 다양했다. 그러나 대부분의 경우는 주민등록번호가 굳이 필요한 경우가 아니다. <그림1참조>

---

게시물 전체에 주민등록번호 노출

현재 거의 모든 홈페이지는 주민등록번호를 수집하고 있다. <그림2>는 실명을 확인하기 위해서 사용자로부터 이름과 주민등록번호 등의 개인정보를 수집한 기관이 이를 그대로 노출하고 있는 경우다. 원래는 관리자의 담당부서가 들어가야 할 곳에 주민등록번호가 들어가 있다. 이 경우는 보통 프로그램 코딩 상에서의 문제로서 게시판에 입력된 모든 게시물에서 주민등록번호가 노출되어 있다는 점에서 매우 심각한 사례라고 할 수 있다.

---

공공기관이 직접 주민등록번호 공개

공공기관이 공지사항이나 공고 등을 통해서 특정인의 이름과 주민등록번호 등을 직접 공개한 경우도 발견되었다. 이는 공공기관이 주민등록번호를 노출하는 것의 위험성을 인식하지 못하고 있거나, 부주의해서 발생한 것이다. 이는 해당 공공기관의 취약한 정보인권 의식을 반영하는 것이라고 할 수 있다. <그림3참조>

---

시스템 에러로 인한 유출

외부로 공개되어서는 안 될 관리자 화면이 공개되어 보호되어야 할 개인정보가 유출된 경우도 있다. 이 경우 역시 대규모 유출 가능성이 있다. <그림4>에서는 정상적인 페이지 옆에 에러가 나서 깨진 텍스트가 보인다. 정상적인 페이지에는 주민등록번호 뒷자리가 *로 표시되어 있지만, 오른쪽 텍스트에는 전체 주민등록번호가 드러나 있다.

---

한편, 사용자가 직접 볼 수 있는 경우는 아니지만, 일반 검색엔진이나 웹로봇은 접근할 수 있는 페이지들도 상당수 존재하는 것으로 밝혀졌다. 이러한 페이지들은 약간의 조작을 거치면 언제든지 노출될 수 있는 가능성이 있다는 점에서 위험하기는 마찬가지다.

빙산의 일각이 드러난 것일 뿐

이번 조사는 각 홈페이지의 모든 페이지를 검색한 것이 아니고 웹로봇이 임의로 선정한 1만개의 페이지를 대상으로 한 것이다. 또한 회원가입 및 로그인을 한 상태에서만 볼 수 있는 페이지와 문서 파일은 조사하지 않았다. 조사에 참여한 정보인권활동가모임의 한 활동가는 “이번 조사 결과 나타난 웹페이지들은 빙산의 일각일 뿐이며 실제로는 훨씬 더 심각하다. 주민등록번호가 발견되지 않은 곳도 개인정보가 잘 관리되고 있다고 단정할 수는 없다”고 강조했다.

지문날인반대연대와 정보인권활동가모임은 이러한 조사 결과를 해당 기관에 통보하고, ▷ 주민등록번호가 발견된 웹페이지를 즉각 삭제 또는 수정할 것. ▷ 자체적인 추가 조사를 통해서 주민등록번호를 비롯한 개인정보가 유출된 웹페이지를 찾아서 삭제할 것. ▷ 주민등록번호가 노출된 사유와 경로를 파악하여 이러한 일이 재발하지 않도록 즉시 적절한 조치를 취할 것. ▷ 국제적인 개인정보보호원칙과 현재 제정 논의 중에 있는 개인정보보호기본법에 비추어 귀 기관의 개인정보보호 정책을 수립하고 추진할 것 등을 요구했다. 그리고 이들은 조사 결과를 설 연휴 이후에 공식 발표하고 관련한 대응 활동을 진행할 계획이라고 밝혔다.