연초부터 블록버스터급 카드사 개인정보 유출 사고가 발생하면서 국민들은 분노와 혼란에 빠져있다. 이런 가운데 모 연말정산, 급여대행 사이트에서 개인정보인 주민등록번호, 주소지, 소득금액 등이 그대로 평문으로 노출되고 있어 신속한 보안조치가 필요한 상황이다.

개인정보 유출 위험이 있는 것으로 확인된 해당 사이트는 국내 유명 급여관리 및 연말정산 대행 업체 사이트다. 이 사이트의 취약점으로 인해 해당 사이트를 이용하는 이용자들의 모든 개인정보와 그 가족들까지도 개인정보가 그대로 노출되는 상황이라 심각하다. 특히 연말정산 시기에 많은 이용자들이 몰리면서 개인정보 유출 위험이 더욱 높아지고 있다.
 
익명의 제보자는 데일리시큐를 통해 해당 사이트의 위험성을 알리고 개인정보 유출을 차단할 수 있는 조치를 당부했다.
 
이 사이트는 특정 기업들과 계약을 맺고 사원들이 연말정산 내용들을 입력하면 자동으로 계산을 해주는 편리한 서비스다. 하지만 입력이 모두 완료된 상태에서 최종적으로 리포트를 확인하는 과정에서 특정 URL을 요청한다.
 
결과값은 XML로 나오고, 이 값을 리포트뷰 프로그램으로 전달해서 최종 HTML형식으로 보여준다.

 
해당 주소를 보면 다양한 변수들은 받아오게 된다. 이 값들을 하나씩 수정하게 되면 다른 사람들의 모든 개인정보 즉 주민등록번호, 주소지, 소득금액 등이 암호화 상태가 아닌 평문상태로 그대로 노출되고 있다.
 
특히 연말정산 서비스 특성에 따라 본인뿐만 아니라 등록한 가족들의 정보까지 모두 노출이 되고 있어 심각하다.
 
이런 값들은 로그인하지 않은 상태에서 누구나 접근이 가능하다는 것이 더욱 문제다. 바로 인증처리를 하지 않아 발생하는 취약점이다.
 
제보자에 따르면, 이들 값들은 모두 예측이 가능하거나 무작위 대입공격으로 공격이 가능하기 때문에 개인정보 유출 위험이 심각하다는 것이다.
 
여전히 개인정보들이 암호화 되지 않은 상태에서 평문으로 노출된다는 것은 해당 업체의 보안인식에 문제가 있다는 것이다. 정부에서는 개인정보의 중요성을 외치고 있고 개인정보보호법도 시행하고 있지만 실제 기업들의 참여의지는 미흡하기만 하다. 관계 당국의 보다 철저한 관리가 이루어져야 할 것으로 보인다.
 
데일리시큐는 제보자에게서 전달받은 상세 내용을 KISA에 전달해 신속한 보안조치가 될 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com