[이슈체크] 타인 인증서로 연말정산 로그인…보안허점 아닌 단순실수에 무게

18일 확인 즉시 조치, 아직 개인정보 유출 사례 없어
7개 민간인증서에서 모두 오류, 보안 모듈 이상 아니냐
보안 모듈 적용 과정에서 명령문 누락

(조세금융신문=고승주 기자) 국세청 연말정산 간소화 사이트에서 로그인 관련 오류가 발생한 것으로 확인됐다.

이름과 주민번호만 제대로 입력했다면, 다른 사람 인증서로도 로그인이 가능한 것인데 거꾸로 남의 이름과 주민번호만 알면 내 인증서로도 얼마든지 타인의 소득자료를 빼낼 수 있는 셈이다.

국세청은 지난 18일 오후 이같은 오류를 발견해 곧장 수정했다고 21일 밝혔다.

◇ 타인 인증서로 내 정보 ‘쓱’...민간인증서만 오류 발생

오류가 처음 보고된 것은 18일 오후.

한 컴퓨터 전문 사이트에서 보고된 오류사례가 모 IT 커뮤니티에 알려지면서부터다.

주민번호랑 이름만 맞으면 인증서는 다른 사람 것을 써도 로그인이 된다는 것인데 해당 커뮤니티 유저가 아내 이름과 주민번호를 입력하고, 자신의 인증서로 로그인해보니 아내의 연말정산 자료가 떴다고 말하면서 상황이 알려졌다.

문제의 오류는 통신사 3사의 패스PASS, 한국정보인증(삼성PASS), KB국민은행, NHN페이코, 네이버, 신한 등 연말정산 사이트에서 사용가능한 7개 민간인증서 모두에서 발생했다.

정부 공인인증서에서만 이러한 오류가 없었던 것으로 확인됐다.

국세청은 18일 이러한 사실을 민간인증업체로부터 보고받고 즉시 수정에 나섰고, 수 시간 정도 민간인증서 로그인이 되지 않아 일부 이용자들이 불편을 겪었다.

국세청 관계자는 “18일 오후 오류를 접수받은 후 그 즉시 오류를 수정했으며, 타인 인증서로 남의 연말정산 자료를 유출한 사례는 아직 확인되지 않았다”라며 “보다 명확한 원인과 개인정보 유출 여부에 대해서는 아직 조사 중”이라고 밝혔다.

◇ 코드 한 줄에 해결된 오류

여론에서는 보안 허점이 발생했다면서까지 도끼눈을 떴다.

하지만 상황만 보면 보안 허점이라고 예단할 어떠한 근거도 없다.

보안 모듈은 사람으로 치면 ‘보안요원’ 역할을 한다.

연말정산 서비스는 자신의 이름과 주민번호를 치고, 인증서(열쇠)로 문 따고 들어가는 구조다.

근로자가 가진 열쇠(개인 고유 암호값, 인증서)가 문고리에 제대로 맞는 열쇠인지 확인(인증 작업)하고, 정상적인 접근을 흉내내는 스파이, 다른 정보를 빼내려는 도둑, 문이나 건물을 때려부수고 들어가려는 강도 등(해커)을 막는 일을 한다.

이번 오류는 아내 열쇠(인증서)로도 남편 집(연말정산 자료)이 열려서 문제가 됐는데 연말정산 보안요원은 문고리와 열쇠를 확인하고 거수자나 침입자가 없는지 살피는 등 보안 모듈 자체는 제대로 작동을 했는데 이용자(주민번호)와 인증서가 동일한지 확인하는 코드가 없었던 것이 화근이 됐다.

실제 국세청에서 해당 코드를 집어넣자 문제는 말끔히 해결됐다.

민간 보안업체 전문가는 “통상 보안에 문제가 생겼다는 것은 암호가 뚫렸거나 비정상적인 수단으로 허용되지 않은 영역까지 정보가 유출된 것을 말한다”라며 “정확하다고 말하기는 어렵지만, 인증서들이 모두 정상작동했고, 외부 침입을 허용한 것도 아니라면 보안모듈에 문제가 있었다고 보기 어렵다”고 전했다.

또 다른 전문가는 “민간인증서라도 정부가 요구하는 수준을 넘겨야 하는데 그 수준이 결코 낮지 않다”라며 “단순오류일 가능성도 배제할 수 없다”고 덧붙였다.

◇ 발단은 민간인증 추가 적용

국세청에서는 아직 정확한 원인 분석이 나온 것은 아니라지만, 사용가능한 민간인증서를 확대하면서 실수가 일어났을 것으로 보이고 있다.

행정안전부는 모든 정부기관에 민간인증서 신규 도입 관련 새로운 보안 모듈을 제공하고 있다. 각기 다른 기관에서 하나씩 만드는 것보다 한 곳에서 인증 모듈을 만드는 것이 훨씬 효율적이기 때문이다.

지난해 초에는 공공기관에서 사용가능한 민간인증서에 카카오, 통신사 3사의 패스PASS, 한국정보인증(삼성PASS), KB국민은행, NHN페이코 다섯 곳을 추가했다.

올해 초에는 네이버와 신한 두 곳을 추가로 더해 총 7개 민간인증서를 사용할 수 있도록 했다.

행안부는 민간인증서를 도입할 때마다 새로 보안모듈을 각 기관에 보내고, 각 기관들은 보낸 보안모듈을 필요한 곳에 적용했는데 국세청 연말정산 간소화 사이트도 마찬가지다.

국세청 홈택스와 연말정산 사이트와의 로그인 구조는 서로 다르다.

국세청 홈택스는 우선 회원가입을 요구한 후에만 인증서 로그인이 가능하다. 인증서 로그인을 할 때 인증서 개인고유값과 홈택스 회원 중 일치하는 값을 이용자에게 제공하는 형태다.

연말정산 사이트는 홈택스와 별도로 운영되는 간이 사이트로 회원가입 없이 자신의 주민번호(이용자 값) 입력 후 인증서(열쇠)를 추가 입력하면 주민번호와 관련된 정보를 보여주는 ‘간편인증’ 서비스를 제공하는데 이 과정에서 이용자 값과 인증서 값이 일치하는 지를 확인하는 확인 코드를 추가로 한 줄 넣어야 한다.

국세청은 행안부가 민간인증서 관련 새로운 모안 모듈을 줄 때마다 이에 맞춰 로그인 영역의 프로그램을 다시 짜야 한다.

이번 로그인 오류에서 공인인증서에서는 문제가 전혀 안 생기고, 민간인증서에만 문제가 일어난 것은 공인인증서 영역은 바꿀 내용이 없었기 때문인 셈이다.

국세청은 지난해 처음 5개 민간인증서(간편인증)이 도입될 때까지는 이 업무를 잘 처리하다가 올해는 이용자값과 열쇠값이 일치하는 지 확인하는 명령문을 본의아니게 누락한 것으로 보인다.

연말정산 관련 가용한 전산공무원은 두어명 수준으로 최근 연이어 밤샘작업을 한 것으로 알려졌다.

국세청은 이번 로그인 사태에 대해 “이용자분들게 불편함을 끼쳐드려 대단히 송구스럽다”라며 “개인정보 유출 피해 여부에 대해서는 분석 중이고, 오류 발생 원인에 대해서는 업무가 많이 밀린데다 자료가 많아 시간이 좀 더 필요하다”고 전했다.

내국세