기부자 실명·주민번호·기부금액 노출
비식별 처리 시스템 부재가 원인 지목
국내 대표 법정 모금·구호단체에서 개인정보가 대량 유출된 사건이 발생했다. 이 과정에서 2000만 원 이상 고액을 기부한 사회 유력인사·연예인의 이름과 주민등록번호가 1년 가까이 해당 기관 홈페이지에 게시되는 등 관련 단체들의 개인정보 관리에 허점이 있는 것으로 드러났다. 정부 당국은 사안의 심각성을 고려해 즉각 실태 조사에 나섰다.
◇ 사랑의열매, 11개월간 기부자 이름·주민번호 유출
6일 정부와 관련 기관에 따르면, 사회복지공동모금회 사랑의열매(이하 사랑의열매)는 지난해 4월부터 최근까지 11개월 동안 2000만 원 이상 고액 기부자 647명의 정보가 기관 홈페이지에 게시된 사실을 확인했다. 해당 기부자 중에는 정치인·기업인·연예인 등이 다수 포함된 것으로 알려졌다.
개인정보 유출 사실을 인지한 사랑의열매는 곧이어 개인정보보호위원회에 관련 사고 내용을 신고하고 대응책 마련에 나섰다고 전했다. 사랑의열매 측은 “대표를 포함한 7명으로 구성된 유출 사고 대응팀을 꾸려 사고 원인을 파악하고 있다”며 “개인정보보호위원회에 즉시 신고한 뒤 기부자들에게 개별 연락을 취하고 있다”고 밝혔다.
사랑의열매는 피해자들에게 추가 피해 방지를 위한 명의도용방지서비스 가입을 권고하고 있으며, 정보 유출로 인한 2차 금전 피해가 발생할 경우 관련 보상 기준이나 피해 구제 절차에 따라 보상할 방침이다.
◇ 희망브리지, 25일간 1600여 명 개인정보 유출
자연재해 법정 구호단체인 희망브리지 전국재해구호협회(이하 희망브리지)에서도 기부자들의 실명과 주민등록번호, 기부 금액 등 개인정보 유출 사고가 발생했다. 희망브리지의 경우 지난달 5일부터 25일까지 약 20일간 1600여 명의 개인정보가 홈페이지에 게시된 것으로 확인됐다.
희망브리지 관계자는 “내부 감사팀의 정기 보안 점검 과정에서 문제를 발견해 즉시 삭제 조치했으며 한국인터넷진흥원(KISA), 행정안전부, 개인정보보호위원회에 신고를 완료했다”고 밝혔다. 이어 “내부적으로 IP 추적과 로그 기록을 확인한 결과 현재까지 2차 피해 정황은 확인되지 않았다”고 설명했다.
◇ 공익법인 결산 공시 과정의 허점
두 기관은 “결산 자료를 홈페이지에 공시하는 과정에서 담당자가 비식별화(마스킹) 처리를 누락한 실수”라고 설명했다. 이에 대해 개인정보보호 관련 업계에서는 기부단체들의 개인정보 관리 시스템을 즉각 보완·강화해야 한다는 목소리가 나온다.
기부 단체는 매년 기부자가 연말정산 세액공제를 받을 수 있도록 국세청에 기부금 영수증 내역을 신고해야 하며, 관련 세법에 따라 기부자의 13자리 주민등록번호 수집이 요구된다. 이에 따라 단체 내부 데이터베이스(DB)에는 기부자의 이름, 기부 금액과 함께 주민등록번호 등 민감 정보가 축적된다.
상속세 및 증여세법에 따라 일정 규모 이상의 공익법인은 매년 4월 전년도 결산 서류를 정해진 양식에 따라 국세청 홈택스와 자체 홈페이지에 공시해야 한다. 국세청 홈택스 시스템은 정해진 양식에 맞춰 입력하면 일부 정보가 자동으로 암호화되거나 비공개 처리된다.
반면 기관 자체 홈페이지에 자료를 게시할 때는 실무자가 내부 시스템에서 기부자 실명과 주민등록번호가 포함된 원본 엑셀 파일을 내려받은 뒤 주민번호 열을 삭제하거나 이름을 비식별화하는 작업을 거쳐 업로드하는 방식으로 진행된다. 이 과정에서 실수가 발생하면 원본 데이터가 그대로 공개될 수 있다.
이번 사고 역시 담당자가 비식별 처리 과정을 누락한 채 파일을 업로드하면서 발생했다. 희망브리지 관계자는 “내부 담당자가 국세청 결산 자료를 내려받을 때 비식별 처리가 되지 않은 원본이 다운로드되는데 이를 수정하지 않고 홈페이지에 그대로 올리면서 문제가 발생했다”고 말했다.
◇ 개인정보 유출 차단 시스템 미비
담당자의 수작업 누락이나 실수로 원본 파일이 첨부되는 것을 제어할 시스템적 장치도 부족했다. 일반적으로 기업이나 공공기관에서는 홈페이지나 외부망에 파일을 업로드할 때 주민등록번호 형식의 정보가 포함돼 있으면 자동으로 업로드를 차단하거나 관리자에게 알리는 ‘개인정보 유출 차단 시스템(DLP)’을 활용한다.
하지만 해당 기부단체들에는 이러한 필터링 시스템이 구축돼 있지 않았다. 사랑의열매는 “결산 자료 공개 전 사전 검수 체계가 마련돼 있지만, 그럼에도 실수가 발생했다”고 밝혔다.
양 기관은 향후 시스템 개선을 검토 중이다. 희망브리지 측은 “향후 시스템상에서 개인정보 마스킹 처리가 자동으로 이뤄지도록 하는 등 보안 체계 강화 방안을 행정안전부와 논의 중”이라고 전했다.
한편 정부는 행정안전부와 한국인터넷진흥원, 개인정보보호위원회 등을 중심으로 정확한 피해 규모와 유출 경위를 조사하고 있다. 정부 관계자는 “결산 공개 과정에서 발생한 오류로 고의성은 없는 것으로 보이지만, 국민 기부 분위기가 위축되지 않도록 정확한 경위를 조사할 것”이라고 말했다.
조유현 더나은미래 기자
