주민등록번호 등 민감한 개인정보가 포함된 서울시시설공단의 자료가 대규모로 검색되는 사고가 발생했다.
지난 15일 서울시설공단이 운영하는 서울시 공공자전거 '따릉이' 홈페이지에는 파일 850여개가 노출됐다. 해당 페이지는 이날 기준으로 구글 등 검색엔진을 통해 누구나 쉽게 접속할 수 있었다. 정확한 사고 발생 시점(파일이 처음 공개된 시점)은 아직 확인되지 않았다.
해당 문서 중에는 주민등록번호와 휴대폰 번호가 다수 포함된 것도 있었다. 특히 사고 보고서, 설치 확인서, 메모 사진 등에도 이름과 휴대폰 번호 등의 개인정보가 있었다. 이번 사고의 개인정보 노출 피해자는 최소 20여명으로 파악된다.
내부 자료도 대거 포함됐다. 특히 따릉이 대여소 증설에 대한 자료가 많았다. IP 주소가 인쇄된 서버 기기 사진과 데이터베이스 접속을 위한 정보로 추정되는 텍스트가 적힌 문서도 있었다.
이번 사고로 노출된 파일 유형은 이미지가 가장 많았고 문서가 뒤를 이었다. 이 외에 실행·설치 파일, 압축파일, 개발 관련 파일(.jsp)도 있었다.
오랜 기간 생성된 자료가 노출된 모양새였다. 2016년 6월 행사 현수막 디자인으로 보이는 이미지 파일부터 지난해 11월 출시된 '따릉이 3시간권' 안내문까지 있었기 때문이다.
이번 사고는 지난 14일 필자가 따릉이 관련기사를 쓰기 위해 로고 파일을 찾는 과정에서 드러났다. 기자가 구글 검색창에 '따릉이 로고'를 검색하자 '서울자전거 따릉이' 사이트가 상단에 노출됐다. 공식 홈페이지에서 로고를 내려받고자 했던 터, 해당 링크를 클릭하니 문제 페이지와 연결됐다.
검색엔진으로 인한 사이버 보안 사고는 이미 정부 기관에서도 경고한 바 있다. 개인정보보호위원회와 한국인터넷진흥원은 지난해 3월 공개한 '2024년 개인정보 유출 신고 동향 및 예방 방법' 보고서에서 "개인정보가 검색엔진에 유·노출된 사례가 다수 발생"했다며 "관리자 페이지가 외부에서 접근되지 않도록 제한하고, 접속 시 안전한 인증 수단 도입"을 주문했다.
필자는 15일 밤 사고 규모를 파악하고 따릉이 24시간 콜센터에 신고했다. 이에 16일 아침 해당 페이지가 더 이상 접속되지 않음을 확인했다. 취재 과정에서 입수한 개인정보 등은 22일 모두 삭제했다.
공단 빠른 조치… 전문가 "권한·검색 설정 문제"
서울시설공단은 빠르게 대응했다. 공단은 19일 <오마이뉴스>에 "지난 15일 저녁 10시경 신고 접수 직후, 문제 파일에 대한 접근을 차단하고 서버 경로 통제를 완료했다"며 개인정보 노출 대상자에게 "개별 문자를 통해 사과와 함께 스팸, 보이스피싱 등 2차 피해 예방을 위한 주의사항을 안내했다"고 답했다. 그리고 "즉각 검색 포털에 URL 삭제를 요청"하고 "한국인터넷진흥원(KISA) 및 개인정보위원회에 관련 내용을 신고 완료했으며, 현재까지 추가 피해 사실은 확인되지 않았다"고 답했다.
공단의 해명은 개발 과정에서 사고가 발생했다는 것이었다. 공단 관계자는 "시스템 개발 및 테스트 과정에서 파일 업로드 검증을 위해 생성된 테스트 파일이 테스트 종료 후 완전히 삭제되지 않고 잔존하면서 발생한 것으로 파악됐다"고 설명했다.
데이터 노출 기간 및 유출 여부 등 추가 질의에는 22일 "현재 여러 유관 부서에서 법적인 부분 비롯해 정확한 사실확인이 필요해서 확인 및 검토 중"이라고 밝혔다.
전문가는 권한 설정과 검색 방지에 문제가 생겼다고 분석했다. 박기웅 세종대 정보보호학과 교수는 20일 기자와의 통화에서 "권한 설정을 제대로 하지 못하고 내보낸 게 가장 근본적인 문제"라고 진단했다. 또한 그는 "구글의 검색엔진은 굉장히 능동적이다"라며 "호기심 어린 로봇이 IP 주소를 바꿔가면서 서버에 방문해 (정보를) 긁어가 구글 서버에 저장하고 색인 작업을 한다"고 비유했다.
이어 "아무거나 다 긁어가면 안 되다 보니 홈페이지마다 '이거는 긁어가도 괜찮아요' '이거는 수집을 거부합니다' 명시할 수 있다"며 "불행하게도 (문제 페이지는) 그냥 기본값인 검색 허용 상태였던 것으로 보인다"고 추정했다.
해킹 없이 유출되는 공공기관 개인정보
검색엔진에 의한 데이터 유출은 이번 사고에 국한되지 않을 수도 있다. 박 교수는 "(공격자 관점에서) 정보 수집을 하는 데 제일 많이 사용하는 게 구글이다"며 "중소기업이나 기관이 이런 부분에 많은 투자를 하지 못하거나 모를 수 있다"고 지적했다. 다만 검색 방지 조치가 어렵냐는 질문에는 "전혀 어려운 건 아니다"고 답했다.
특히 공공기관은 내부 원인으로 인한 보안 사고에 취약하다. '2024년 개인정보 유출 신고 동향 및 예방 방법' 보고서에 따르면, 2024년 공공기관 개인정보 유출 신고 104건 중 약 62%는 업무 과실 혹은 시스템 오류로 발생했다. 개인정보 유출의 약 67%가 해킹으로 인해 발생하는 민간기업과 대조됐다. 박 교수는 "지금도 고급 구글 검색을 이용하면 인사 등 (내부) 정보가 노출된 경우가 많이 있다"고 언급했다.
지난해 11월 밝혀진 쿠팡 개인정보 대규모 유출 사고에서 '유출'과 '노출' 표현을 두고 논란이 일기도 했다. 이번 사고에 대해 박 교수는 "데이터가 구글 서버에 저장됐으니 유출이다"라며 보안에 대한 관심과 투자가 필요하다"고 밝혔다.
서울시설공단은 19일 답변서에서 "향후 전수조사를 통해 유사 상황 방지에 노력하겠다"며 "개인정보 보호 체계를 강화하여 재발 방지를 위한 근본적인 대책도 마련하겠다"고 밝혔다.