'국세청 연말정산' 보안 허점 발견?!

홈택스 연말정산 간소화 서비스 인증 과정에서

보안 허점이 발견되어 국세청이 이를 정비한 것으로 확인됐습니다.

 

국세청에 따르면, 지난 15일 오전 6시 서비스 개통 시점부터 

자신의 인증서를 사용해 다른 사람의 이름과 주민등록번호를 입력하면,

타인의 계정으로 로그인되어 소득 및 세액공제 자료를 열람할 수 있는 시스템 오류가 발생했다고 합니다.

 

원칙대로라면 로그인하려는 본인의 인증서로만 본인 인증이 되어야 하는데,

A 씨의 이름과 주민번호를 입력한 뒤 B 씨의 인증서를 사용해 인증해도 로그인이 됐던 것입니다.

 

가족 중 누가 어느 병원에 방문했는지 알 수 있는 기록,

수년 동안의 건강보험·국민연금 납부내역을 통해 소득 및 소득 추이를 추정할 수 있고

신용카드와 현금영수증 사용액, 정당 후원금 및 종교단체 기부금 명세 등과 같이

민감한 개인정보를 내 인증서를 사용해 로그인 한 타인이라면

누구든지 전부 볼 수 있었던 것입니다.

 

 

이런 오류는 지난 15일 오전 6시 연말정산 간소화 홈페이지 개통 이후부터 18일까지 나흘 동안 계속됐습니다.

 

 

연말정산 간소화 서비스는 그동안 공동인증서나 카카오톡, 통신 3사 패스(PASS)만 가능했다가

올해부터 가능해진 네이버, 신한은행으로도 인증을 할 수 있게 추가되었다고 하는데요,

이 2가지 인증이 추가되는 과정에서

이름·주민번호와 간편인증서 소유자의 일치 여부를 검증하는 알고리즘이 생략되어

오류가 발생했다고 설명했습니다.

 

 

이 7가지 민간 간편인증서를 사용했을 때만 오류가 발생했으며,

공동·금융인증서로 로그인할 때는 문제가 생기지 않았다고 합니다.

 

 

이후 민간 기관의 통보를 받은 국세청이 이를 알고

18일 오후 8시부터 3시간 동안 민간 인증서를 통한 로그인을 차단한 뒤 오류를 수정했습니다.

 

국세청은 현재 실제 개인정보 유출 피해가 있었는지 조사 중이라고 합니다. 

국세청 관계자는

20일 "(지금까지 검증이 진행된) 15,16일의 자체 자료에서는 아직까지 개인정보 유출 사례는 없다" 고 밝혔습니다.

 

 

하지만 다른 사람의 계정으로 로그인할 수 있었던 기간이 나흘이나 됐던 만큼,

개인정보 유출 가능성은 여전히 남아있다고 합니다.

 

만약 유출 피해가 발생했다면,

병원 방문 기록 등의 민감한 개인 정보를 그대로 담고 있는 자료들인 만큼 파장은 적지 않을 것으로 보입니다.

 

정부 및 공공기관은 홈페이지를 열기 전

충분히 검수를 하고 보안 인증 시스템을 더욱 강화해야한다는 전문가들의 지적도 나오고 있습니다.

 

 

 

연말정산으로 다들 많은 신경을 쓰고 있는 시기에 너무 우려스럽네요..

아무리 개인이 보안에 신경쓴다고 해도 이런 경우에는 개인이 어떻게 할 수 없는 상황이라

더욱 걱정이 됩니다.

국세청은 보안에 더 많은 신경을 써야겠어요.

 

 

이상 국세청 연말정산 사이트 보안 허점에 대한 포스팅이었습니다.

감사합니다.

---

https://base-archive.tistory.com/entry/컴알못도-알아야하는-기초해킹상식

컴알못도 알아야하는 '기초 해킹 상식'