▲ <사진출처=국세청 홈택스 홈페이지 캡쳐>

【투데이신문 전소영 기자】국세행정시스템 ‘홈택스’에서 개인 정보가 유출될 수 있는 취약점이 발견됐다.

IT기업 누리랩 측에 따르면, 홈택스 홈페이지를 인터넷 익스플로러(IE)로 접속한 뒤 종료할 경우 모든 탭에 대한 정보를 마지막 세션 복원을 위해 시스템 내에 보관된다. 그런데 이 정보들이 암호화되지 않은 평문 그대로 존재한다는 것.

해당 정보 안에는 사용자의 ID와 패스워드, 신용카드 번호, 결제 암호 등이 포함돼 자칫 심각한 개인 정보 유출을 야기할 수 있다.

누리랩 최원혁 대표는 “문서 파일 검색 도구를 개발하던 중 개인 정보에 대한 값을 입력하자 인터넷 브라우저의 개인 정보 값이 보이는 것이 발견됐다”며 “홈택스에 실제 로그인했을 때 그 정보들이 폴더에 남는 것으로 확인됐다”고 설명했다. 

더욱 문제시되는 것은 홈택스뿐만 아니라 80~90%에 해당되는 다수의 웹사이트에서 이 취약점이 발견됐으며 청와대, 행정자치부, 미래부 등 국가 주요 공공기관 사이트도 포함된다는 점이다.

최 대표는 “만약 취약점이 발견되지 않았더라면 개인 정보가 알게 모르게 지속적으로 노출됨에도 불구하고 다른 문제를 해결하는데 치중했을 것”이라고 지적했다.

그는 “대부분의 결제창이 IE에서 이뤄지기만 다른 브라우저에서도 같은 취약점이 발견됐다”며 “IE만의 취약점이었다면 모든 웹사이트에서 발견됐어야 하지만 일부 웹사이트는 해당되지 않았다”고 설명했다.

이어 “요즘 서버상의 개인 정보 암호화에 집중하고 있는데 이번 취약점은 웹브라우저상에서 발생한 문제다”라며 “웹개발자들이 이 부분을 신경 써서 코딩했어야 한다고 본다”고 덧붙였다.

국세청-삼성SDS “홈택스만의 문제는 아니다” 책임 회피

이에 대해 국세청은 해당 취약점이 발견된 사실을 인정했다. 국세청 관계자는 “청와대, 행자부, 미래부 등 다수에서 발생한 일반적인 문제라고 알고 있다”며 “그런 취약점이 발견됐다는 사실에 대해서 인지했고 곧바로 조치를 취할 예정이다”라고 해명했다.

이 관계자는 “항상 발생하는 문제는 아니고 PC가 악성코드에 노출돼 해킹당하거나 강제 종료 등의 상황에 한에서 개인 정보 노출 가능성이 존재한다”며 “IE를 제대로 종료하고 로그아웃을 하면 정보가 캐시(데이터를 저장해 두는 임시 장소)에 남지 않는다”고 설명했다.

이 취약점으로 인해 그동안 해킹이나 개인 정보가 유출된 것이 확인된 바 있느냐는 질문에 대해서는 “개인 PC는 V3와 같은 백신 프로그램만 설치돼있어도 사실상 해킹은 어렵다”고 답했다.

이어 “(불특정 다수가 이용하는) PC방에서의 위험성에 대해서는 공감하지만 PC방에서 개인 정보를 입력하면 이 취약점이 아니더라도 언제든지 (개인 정보가) 노출될 가능성이 있다고 본다”며 “이런 부분까지 고려해 암호화할 수 있도록 노력 중이다”라고 말했다.

홈택스의 개발사인 삼성SDS 관계자 역시 “모 보안업체에서 새로 개발한 툴에 의해 취약점이 발견된 것으로 알고 있다”며 “홈택스만의 문제가 아닌 정부에서 운영하는 여러 공공기관 사이트에서도 발견된 문제라고 알고 있다”고 답했다.

이어 “홈택스가 지적받은 부분에 대해서는 수정 조치를 취할 것이다”라며 “현재까지 이 취약점으로 개인 정보가 유출된 것은 확인된 바가 없다”고 설명했다.

한편, 본지가 누리랩 측에 의뢰해 확인한 결과 현재 홈택스 홈페이지의 개인 정보 유출 취약점은 해결된 상태다.