개인정보보호법이 강화되고 있지만 여전히 간단한 구글 검색어만 입력하면 엑셀이나 문서, 이미지 형태로 이름, 주민등록번호, 휴대폰번호, 주소 등 개인정보가 그대로 노출되고 있다. 관련 기관에서 정기적으로 구글에 노출되는 개인정보를 색출해 조치를 취하고 있지만 문제는 지속적으로 반복되고 있다는 점이다.
데일리시큐는 지난해부터 지속적으로 구글 검색에 의한 한국인 개인정보 노출 문제를 보도한 바 있다. 하지만 최근 다시 조사한 결과, 지난 2015년 데일리시큐 보도를 통해 지적된 사안이 여전히 방치되고 있다는 것을 확인했다.
-관련 기사: dailysecu.com/news_view.php?article_id=9371
7천명 이상의 개인정보가 포함된 엑셀파일이 구글에 무방비 노출
◇‘미사용 탄소캐쉬백 포인트 지급대상자’ 7천763명 개인정보 다시 노출
안산시 환경재단 모 사이트에서 노출된 ‘미사용 탄소캐쉬백 포인트 지급대상자’ 7천763명의 개인정보가 담긴 엑셀파일은 여전히 구글에서 누구나 다운로드 가능한 상황이다. 이름, 주민등록번호, 주소 등이 그대로 노출되고 있다. 2015년 5월 데일리시큐 보도 이후 노출이 되지 않고 있다가 2주전부터 다시 노출되고 있는 상황이다. 근본적인 조치가 필요하다.
◇정부, 공공기관 등 개인정보 포함된 파일 다수 노출중
이외에도 데일리시큐는 구글상에 노출되고 있는 개인정보 파일을 간단히 찾아낼 수 있는 기술을 보유한 보안전문가 허장녕씨와 함께 최근 다시 검사를 실시했다. 검사 결과 정부기관, 공공기관, 협회, 민간기업 등에서 관리가 제대로 되지 않아 구글에 그대로 노출되고 있는 상당수 개인정보 파일을 찾아낼 수 있었다. 확인된 결과는 다음과 같다.
주관부처가 미래부 소속인 나노기반소프트일렉트로닉스 연구단에서 관리하는 특허관련 문서에서 3명의 이름과 주민등록번호, 주소 등이 노출되고 있었다.
인감증명서 파일까지 노출
또 보건복지부 국가 중앙재활기관인 국립재활원에서 관리하는 모 업체 인감증명서 파일과 파일 내부에 이름과 주민등록번호가 확인됐다.
중소기업청 2002 하반기 현장평가대상업체 2명의 주민등록번호와 환경부 2015년 정보공개처리 현황 엑셀파일에서도 1명의 개인정보가 노출되고 있었다.
또 고용노동부 메인사이트 및 직업능력지식포털 사이트에서 각각 2명과 37명의 주민등록번호가 노출되고 있으며 제주도 서귀포시 공시송달 반송 파일에도 1명의 주민등록번호가 노출되고 있다.
한국발전교육원 가격검정시스템 사이트에서도 ‘발전정비사1급+지원자명단’ 엑셀파일에서 37명의 개인정보가 그대로 노출되고 있는 상태다.
이외에도 모 지역 자전거 대축제 참가자 이름과 주민등록번호 등 102명의 개인정보가 노출되고 있고 대한마취통증의학과의사회 41명의 관련 의료인 이름, 주민등록번호, 전화번호, 이메일 등이 노출되고 있는 확인됐다.
모 공사에서 관리하는 파일로 추정되는 엑셀파일에는 모지역 재개발 관련 조사인 명부에서 500명 이상의 개인정보가 노출중이다.
?특허증명서 파일 내부의 개인정보
?교사 개인정보도 노출 중
이외에도 몇 개 대학과 협회 등에서 관리하는 파일이 구글에 그대로 노출되고 있는 것이 확인됐다.
◇개인정보보호 중요성은 인식하고 있지만 실천은 여전히 ‘미흡’
한편 허장녕씨에 따르면 “전국에 많은 가맹점을 둔 모 프랜차이즈 업체에서 영수증번호로 고객이 응모하도록 해 사은품을 주는 이벤트를 실시했는데 이벤트에 응모한 고객 9천654명의 개인정보 파일이 구글에 그대로 노출된 것을 확인했다. 주민등록번호는 없었지만 이름, 휴대폰번호, 이메일주소, 집주소 등 상세한 개인정보가 포함된 파일이었다. 너무 많은 개인정보가 포함돼 있어 즉시 해당 업체에 몇 차례 연락을 해 현재는 삭제된 상태다. 하지만 개인정보보호법 상으로는 고객들에게 통보를 해야 하고 관련 기관에 신고를 해야 함에도 불구하고 그러한 개념 조차도 없다는 것을 알게 됐다. 정부에서는 개인정보보호를 강조하지만 아직 기업들은 그 중요성만큼 준비를 하지 않고 있는 것으로 보인다”고 안타까워했다.
데일리시큐는 이번 조사 결과를 한국인터넷진흥원에 전달하고 조치가 이루어질 수 있도록 할 예정이다. 개별 기관과 기업들이 구글에 노출되는 개인정보 파일을 완벽하게 관리하기란 힘든 상황이지만 관련 솔루션 업체의 도움을 받거나 관련 기관의 지속적인 모니터링이 보다 강화되어야 할 것이다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com