선관위, 정치자금 후원자 최대 58만명 정보 줄줄줄
[단독] URL 일련번호 바꾸면 다른 기부자 정보 한눈에... 선관위 "조치하겠다"
[2신 : 2일 오후 9시 45분]
중앙선관위 "후원자 개인정보들이 유출되지는 않은 듯"
중앙선거관리위원회(이하 중앙선관위)는 2일 오후 6시 50분께 정치후원금 센터 홈페이지에서 타인의 정보에 접근할 수 없도록 조치했다고 밝혔다. 실제 이 시간 이후 정치후원금센터 홈페이지를 통해 타인의 정보를 보는 것은 불가능하다.
중앙선관위는 "(문제가 발생한 원인은) 프로그램상 일부 오류"라며 "실명인증 후 URL주소 변조를 통해 본인 정보뿐 아니라 타인의 기부 관련 정보도 조회할 수 있는 현상이 발생했다"고 설명했다.
또 중앙선관위는 "이러한 문제는 일반적인 후원금 기부 내역 조회 과정에서는 나타나지 않으며, URL 주소를 변조하더라도 실명인증한 후 그 다음 단계에서 조회가 가능한 것이므로 불특정 다수가 광범위하게 타인의 정보까지 조회한 것으로 추정되지는 않는다"고 해명했다.
중앙선관위는 "다만 프로그램상의 결함으로 인하여 개인정보가 유출될 수 있었던 점에 대해서는 유감스럽게 생각하며, 향후 정치후원금센터를 안심하고 이용할 수 있도록 최선을 다하겠다"고 밝혔다.
[1신 : 2일 오후 7시]
중앙선관위 정치후원금센터, 개인정보 유출에 무방비
국가기관인 중앙선거관리위원회(이하 중앙선관위)의 정치후원금 센터 홈페이지가 개인정보 유출에 최소 1년 넘게 무방비 상태였던 것으로 드러나 충격을 주고 있다. 이 개인정보는 개인 신상정보뿐 아니라 누가 어떤 정치인에게 얼마를 후원했는지 등 극히 예민한 내용까지 담고 있다.
선관위는 2일 오후 <오마이뉴스>에서 이러한 사실을 지적하자, "바로 조치에 나서겠다"고 했지만 3시간이 지난 현재까지도 어떠한 조치도 취하지 않고 있다.
해킹도 안 했는데 개인정보는 물론이고 정치성향까지 노출
얼마 전 A(44)씨는 중앙선관위 정치후원금센터 홈페이지를 통해 자신이 지지하는 국회의원에게 후원금을 내려다 깜짝 놀랐다. 후원을 신청하는 과정에서 다른 사람들의 개인정보까지 볼 수 있다는 점을 알게 된 것.
방법은 간단했다. 메인화면에서 '정치후원금 기부' 메뉴를 선택하고 실명인증 과정을 거쳐 필수 입력 항목인 전화번호, 주소, 직업, 후원회와 기부금 액수를 선택하고 나면 결제 직전 단계로 들어간다. 이 단계에서 URL(Uniform Resource Locator: 자원 위치 지정자)에 'AA000000******'로 시작하는 일련번호같은 것이 보여 궁금한 마음에 한번 다른 숫자로 바꿔봤더니, 다른 사람의 개인정보가 인터넷 창에 나타났다. 실수인가 싶었지만, 숫자를 바꾸는 대로 계속 다른 회원들의 개인정보가 보였다.
여기에는 이름과 주민등록번호 앞자리, 전화 번호, 휴대폰 번호, 주소와 직업 등 개인정보뿐 아니라 후원금을 낸 후원회 이름과 액수까지 노출됐다. 예를 들어 AA000000575***을 치면 충남 천안시의 정아무개씨가 정아무개 국회의원에게 10만 원을 후원한 사실을 알 수 있다. AA000000576***을 입력하면 충남 아산시에 사는 차아무개씨가 이아무개 국회의원에게 5만 원을 후원했다는 내용이 나타난다. 이처럼 'A000000' 이후에 나오는 여섯 자리 숫자의 조합을 바꿀 때마다 각기 다른 사람의 후원정보가 보였다. 수집 의도에 따라서는 특정인의 정치성향까지 파악하는 것이 얼마든지 가능하다.
또 번호에 따라서는 현역 국회의원이 아닌 전직 국회의원 후원회 이름도 나타났다. 중앙선관위 정치후원금 센터를 통해 후원한 사람들의 정보가 계속 누적돼 남아 있는 것이 아닌가 하는 추정이 가능한 대목이다.
그동안 정치후원금은 매우 민감한 정보로 분류되었다. 지난 5월, 검찰이 통합진보당의 서버를 압수수색하려고 하자 통합진보당 지도부는 물리적인 충돌을 불사하며 강하게 저항했다. 당원들의 개인정보가 유출되는 것을 막기 위해서였다. 정치후원금 내역도 그중 하나였다.
지난 2010년 검찰은 민주노동당에 당원으로 가입하거나 후원금을 낸 교사와 공무원의 형사처벌을 시도한 바 있다. 만약 누군가 일련번호가 부여된 57만여 개의 정보를 일일이 수집해 데이터베이스를 구축한다면, 범죄에 악용되는 것은 물론이고 정치적 탄압의 도구로 이용될 가능성도 있다.
A씨는 <오마이뉴스> 기자와 만나 "개인의 정치성향까지 파악할 수 있는 민감한 개인 정보가 그냥 노출되어 있는 것이나 마찬가지"라며 "개인이 운영하는 인터넷 쇼핑몰이라 해도 이런 식으로 관리하지는 않는다"고 분통을 터트렸다.
한 웹 설계자도 "인증도 받지 않고 다른 사람의 정보까지 들여다 볼 수 있는 것은 홈페이지 설계 자체가 잘못되어 있기 때문"이라며 "침입차단 시스템이 없는 것이나 마찬가지여서 해킹에 무방비 상태로 놓여 있다"고 지적했다.
선관위 "지난해 10월 홈페이지 개편... 보안점검 했을 때도 몰랐다"
하지만 중앙선관위는 <오마이뉴스>가 취재에 들어갈 때까지도 이런 사실을 전혀 파악하지 못하고 있었다. 중앙선관위 홈페이지는 지난해 10월 26일 서울시장 보궐선거 당시에는 디도스(DDoS·분산서비스거부) 공격을 받아 투표소 정보가 열리지 않는 등 혼란을 빚기도 했다. 중앙선관위의 보안의식이 지나치게 안이한 것 아니냐는 지적이 나오는 대목이다.
2일 오후 2시 50분께 <오마이뉴스> 기자가 과천에 있는 선관위 언론홍보팀 사무실에 들러 개인정보가 유출되는 과정을 보여주자, 선관위 관계자들은 당혹감을 감추지 못했다.
선관위 정치자금과 한 관계자는 "최초에 사이트를 설계한 것은 2005년이다. 홈페이지를 통해 후원금을 받기 시작한 것은 2008년부터이고 개편은 지난해 10월경에 했다"면서 "이런 문제는 보안점검을 했을 때도 나온 문제가 아니어서 잡아내지 못했다"고 말했다. 홈페이지를 통해 후원금 모금을 시작한 것이 지난 2008년, 개편한 것이 지난해 10월의 일임을 감안하면 최소 1년, 최악의 경우 4년 동안이나 개인정보가 노출되었을 가능성도 있다.
이 관계자는 "홈페이지 개발은 외주를 주었는데, 처음에 개발한 회사는 없어졌고 지난해 개편한 업체도 지금 없어졌다"면서 "유지보수는 중앙선관위에서 자체적으로 하고 있다"고 전했다. 선관위는 "개인정보가 보이는 문제는 바로 조치를 하겠다"고 했지만, <오마이뉴스> 기자가 방문한 지 3시간이 지난, 2일 오후 6시 30분 현재도 개인정보 노출은 계속되고 있다.
개인정보보호법 제5조에 따르면, '국가와 지방자치단체는 개인정보의 목적 외 수집, 오용·남용 및 무분별한 감시·추적 등에 따른 폐해를 방지하여 인간의 존엄과 개인의 사생활 보호를 도모하기 위한 시책을 강구하여야 한다'고 명시되어 있다. 그러나 '인간의 존엄과 개인의 사생활 보호' 의무가 있는 국가기관인 중앙선관위는 허술한 보안으로 기부자들의 개인정보를 유출한 꼴이 됐다.
한편, 지난 9월 KT 고객 개인정보 유출 사건 피해자 2만4000명은 KT를 상대로 1인당 50만 원의 손해배상을 청구하는 소송을 서울중앙지법에 냈다. "KT는 고객정보 유출을 방지해야 할 의무가 있는데도 기술적 보호조치를 제대로 이행하지 않았기 때문에 관리 소홀로 입은 손해를 배상할 책임이 있다"는 것이 소송의 요지였다.
지난 4월 대구지법은 '네이트 해킹사건' 피해자들이 SK커뮤니케이션즈를 상대로 낸 손해배상 청구소송에서 '기업은 통상적으로 개인정보를 안전하게 관리해야 할 책임이 있다'며 원고 일부 승소 판결하기도 했다.
중앙선관위 "후원자 개인정보들이 유출되지는 않은 듯"
중앙선거관리위원회(이하 중앙선관위)는 2일 오후 6시 50분께 정치후원금 센터 홈페이지에서 타인의 정보에 접근할 수 없도록 조치했다고 밝혔다. 실제 이 시간 이후 정치후원금센터 홈페이지를 통해 타인의 정보를 보는 것은 불가능하다.
중앙선관위는 "(문제가 발생한 원인은) 프로그램상 일부 오류"라며 "실명인증 후 URL주소 변조를 통해 본인 정보뿐 아니라 타인의 기부 관련 정보도 조회할 수 있는 현상이 발생했다"고 설명했다.
또 중앙선관위는 "이러한 문제는 일반적인 후원금 기부 내역 조회 과정에서는 나타나지 않으며, URL 주소를 변조하더라도 실명인증한 후 그 다음 단계에서 조회가 가능한 것이므로 불특정 다수가 광범위하게 타인의 정보까지 조회한 것으로 추정되지는 않는다"고 해명했다.
중앙선관위는 "다만 프로그램상의 결함으로 인하여 개인정보가 유출될 수 있었던 점에 대해서는 유감스럽게 생각하며, 향후 정치후원금센터를 안심하고 이용할 수 있도록 최선을 다하겠다"고 밝혔다.
[1신 : 2일 오후 7시]
중앙선관위 정치후원금센터, 개인정보 유출에 무방비
국가기관인 중앙선거관리위원회(이하 중앙선관위)의 정치후원금 센터 홈페이지가 개인정보 유출에 최소 1년 넘게 무방비 상태였던 것으로 드러나 충격을 주고 있다. 이 개인정보는 개인 신상정보뿐 아니라 누가 어떤 정치인에게 얼마를 후원했는지 등 극히 예민한 내용까지 담고 있다.
선관위는 2일 오후 <오마이뉴스>에서 이러한 사실을 지적하자, "바로 조치에 나서겠다"고 했지만 3시간이 지난 현재까지도 어떠한 조치도 취하지 않고 있다.
해킹도 안 했는데 개인정보는 물론이고 정치성향까지 노출
play
▲ 중앙선관위, 홈페이지 부실관리로 정치후원금 기부자 개인정보 유출중앙선거관리위원회의 홈페이지 부실관리로 정치후원금 기부자들의 개인정보가 유출되고 있어 논란이 예상된다. ⓒ 최인성
얼마 전 A(44)씨는 중앙선관위 정치후원금센터 홈페이지를 통해 자신이 지지하는 국회의원에게 후원금을 내려다 깜짝 놀랐다. 후원을 신청하는 과정에서 다른 사람들의 개인정보까지 볼 수 있다는 점을 알게 된 것.
방법은 간단했다. 메인화면에서 '정치후원금 기부' 메뉴를 선택하고 실명인증 과정을 거쳐 필수 입력 항목인 전화번호, 주소, 직업, 후원회와 기부금 액수를 선택하고 나면 결제 직전 단계로 들어간다. 이 단계에서 URL(Uniform Resource Locator: 자원 위치 지정자)에 'AA000000******'로 시작하는 일련번호같은 것이 보여 궁금한 마음에 한번 다른 숫자로 바꿔봤더니, 다른 사람의 개인정보가 인터넷 창에 나타났다. 실수인가 싶었지만, 숫자를 바꾸는 대로 계속 다른 회원들의 개인정보가 보였다.
여기에는 이름과 주민등록번호 앞자리, 전화 번호, 휴대폰 번호, 주소와 직업 등 개인정보뿐 아니라 후원금을 낸 후원회 이름과 액수까지 노출됐다. 예를 들어 AA000000575***을 치면 충남 천안시의 정아무개씨가 정아무개 국회의원에게 10만 원을 후원한 사실을 알 수 있다. AA000000576***을 입력하면 충남 아산시에 사는 차아무개씨가 이아무개 국회의원에게 5만 원을 후원했다는 내용이 나타난다. 이처럼 'A000000' 이후에 나오는 여섯 자리 숫자의 조합을 바꿀 때마다 각기 다른 사람의 후원정보가 보였다. 수집 의도에 따라서는 특정인의 정치성향까지 파악하는 것이 얼마든지 가능하다.
또 번호에 따라서는 현역 국회의원이 아닌 전직 국회의원 후원회 이름도 나타났다. 중앙선관위 정치후원금 센터를 통해 후원한 사람들의 정보가 계속 누적돼 남아 있는 것이 아닌가 하는 추정이 가능한 대목이다.
▲ 중앙선거관리위원회 정치후원금 홈페이지 화면. 결제 단계에서 화면 상단에 있는 URL에서 영수증 일련번호로 추정되는 숫자의 일부를 다른 숫자로 바꾸자, 타인의 후원정보가 나타난다. <오마이뉴스>가 2일 오후 3시께 선관위에 이러한 사실을 지적한 이후에도 타인 개인정보 노출은 계속되었다. ⓒ 중앙선관위
▲ 일련번호를 바꾸자 인터넷 창에 뜬 타인의 기부 정보. 이름, 주민등록번호 앞자리, 전화번호, 휴대폰번호, 이메일 주소, 집 주소, 직업은 물론이고 누구에게 얼마를 후원했는지도 나온다. ⓒ 중앙선관위
그동안 정치후원금은 매우 민감한 정보로 분류되었다. 지난 5월, 검찰이 통합진보당의 서버를 압수수색하려고 하자 통합진보당 지도부는 물리적인 충돌을 불사하며 강하게 저항했다. 당원들의 개인정보가 유출되는 것을 막기 위해서였다. 정치후원금 내역도 그중 하나였다.
지난 2010년 검찰은 민주노동당에 당원으로 가입하거나 후원금을 낸 교사와 공무원의 형사처벌을 시도한 바 있다. 만약 누군가 일련번호가 부여된 57만여 개의 정보를 일일이 수집해 데이터베이스를 구축한다면, 범죄에 악용되는 것은 물론이고 정치적 탄압의 도구로 이용될 가능성도 있다.
A씨는 <오마이뉴스> 기자와 만나 "개인의 정치성향까지 파악할 수 있는 민감한 개인 정보가 그냥 노출되어 있는 것이나 마찬가지"라며 "개인이 운영하는 인터넷 쇼핑몰이라 해도 이런 식으로 관리하지는 않는다"고 분통을 터트렸다.
한 웹 설계자도 "인증도 받지 않고 다른 사람의 정보까지 들여다 볼 수 있는 것은 홈페이지 설계 자체가 잘못되어 있기 때문"이라며 "침입차단 시스템이 없는 것이나 마찬가지여서 해킹에 무방비 상태로 놓여 있다"고 지적했다.
선관위 "지난해 10월 홈페이지 개편... 보안점검 했을 때도 몰랐다"
▲ 중앙선거관리위원회에서 "대한민국의 깨끗한 정치문화를 위해 정치후원금 기부를 약속해주세요"라는 이벤트를 진행하고 있다. 2일 오후 6시 30분 현재 정치후원을 약속한 사람은 1492명으로 나와 있다. ⓒ 중앙선관위 홈페이지
하지만 중앙선관위는 <오마이뉴스>가 취재에 들어갈 때까지도 이런 사실을 전혀 파악하지 못하고 있었다. 중앙선관위 홈페이지는 지난해 10월 26일 서울시장 보궐선거 당시에는 디도스(DDoS·분산서비스거부) 공격을 받아 투표소 정보가 열리지 않는 등 혼란을 빚기도 했다. 중앙선관위의 보안의식이 지나치게 안이한 것 아니냐는 지적이 나오는 대목이다.
2일 오후 2시 50분께 <오마이뉴스> 기자가 과천에 있는 선관위 언론홍보팀 사무실에 들러 개인정보가 유출되는 과정을 보여주자, 선관위 관계자들은 당혹감을 감추지 못했다.
선관위 정치자금과 한 관계자는 "최초에 사이트를 설계한 것은 2005년이다. 홈페이지를 통해 후원금을 받기 시작한 것은 2008년부터이고 개편은 지난해 10월경에 했다"면서 "이런 문제는 보안점검을 했을 때도 나온 문제가 아니어서 잡아내지 못했다"고 말했다. 홈페이지를 통해 후원금 모금을 시작한 것이 지난 2008년, 개편한 것이 지난해 10월의 일임을 감안하면 최소 1년, 최악의 경우 4년 동안이나 개인정보가 노출되었을 가능성도 있다.
이 관계자는 "홈페이지 개발은 외주를 주었는데, 처음에 개발한 회사는 없어졌고 지난해 개편한 업체도 지금 없어졌다"면서 "유지보수는 중앙선관위에서 자체적으로 하고 있다"고 전했다. 선관위는 "개인정보가 보이는 문제는 바로 조치를 하겠다"고 했지만, <오마이뉴스> 기자가 방문한 지 3시간이 지난, 2일 오후 6시 30분 현재도 개인정보 노출은 계속되고 있다.
개인정보보호법 제5조에 따르면, '국가와 지방자치단체는 개인정보의 목적 외 수집, 오용·남용 및 무분별한 감시·추적 등에 따른 폐해를 방지하여 인간의 존엄과 개인의 사생활 보호를 도모하기 위한 시책을 강구하여야 한다'고 명시되어 있다. 그러나 '인간의 존엄과 개인의 사생활 보호' 의무가 있는 국가기관인 중앙선관위는 허술한 보안으로 기부자들의 개인정보를 유출한 꼴이 됐다.
한편, 지난 9월 KT 고객 개인정보 유출 사건 피해자 2만4000명은 KT를 상대로 1인당 50만 원의 손해배상을 청구하는 소송을 서울중앙지법에 냈다. "KT는 고객정보 유출을 방지해야 할 의무가 있는데도 기술적 보호조치를 제대로 이행하지 않았기 때문에 관리 소홀로 입은 손해를 배상할 책임이 있다"는 것이 소송의 요지였다.
지난 4월 대구지법은 '네이트 해킹사건' 피해자들이 SK커뮤니케이션즈를 상대로 낸 손해배상 청구소송에서 '기업은 통상적으로 개인정보를 안전하게 관리해야 할 책임이 있다'며 원고 일부 승소 판결하기도 했다.
"자세한 원인 파악하는 데는 시간 걸린다" [인터뷰] 중앙선거관리위원회 정치자금과 관계자 |
- 사이트는 언제 설계했나? "최초 홈페이지를 만든 것은 지난 2005년이다. 홈페이지를 통해 후원금을 받기 시작한 것은 2008년 부터이고, 개편은 지난해 10월경에 했다. 정확한 원인을 파악하는 데는 시간이 좀 걸리지만 개인 정보가 보이는 문제는 바로 조치하겠다." - 테스트도 안 해봤나? "이런 문제는 보안 점검했을 때도 나온 문제가 아니어서 잡아내지 못했다. 어쨌든 보안상 문제가 있다는 것을 알았으니 신속하게 조치하겠다." - 원인이 뭔가? "자세한 원인을 파악하는 데는 시간이 좀 걸린다." - 홈 페이지 개발은 자체적으로 했나? "외주를 주었다. 처음에 개발한 회사는 없어졌고, 작년에 개편한 업체도 지금 없어졌다." - 문제가 생겼을 때 책임소재가 어떻게 되나? "유지보수는 중앙선관위 자체적으로 하고 있다." |
저작권자(c) 오마이뉴스(시민기자), 무단 전재 및 재배포 금지