쿠팡 퇴사자 권한 방치, 남 일 아니었다…공공기관도 ‘접근권한 구멍’ 수두룩 작성일 12-15 10 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">공공도 퇴사자·전임자 권한 말소 누락 빈번<br>“유출 출발점은 대부분 남아 있는 권한”<br>공공기관 보호수준 평가서 드러난 관리 부실 실태<br>영향평가, 법 점검 아닌 ‘위험 사전 제거’ 도구로 써야</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="yWeM0pwar2"> <p contents-hash="ebeabfeabbce5b826d63b6767c3161e050e3a321e0c6aead0894eec63c7f1ac9" dmcf-pid="WYdRpUrNm9" dmcf-ptype="general"> [이데일리 권하영 기자] 퇴사자의 접근권한을 방치해 대규모 개인정보 유출로 이어진 쿠팡 사례는 보안 관리의 기본이 얼마나 쉽게 무너질 수 있는지를 보여준다. 이런 접근권한 관리 부실은 민간 기업만의 문제가 아니었다. 공공기관에서도 담당자 변경 이후 권한을 회수하지 않거나 테스트·감사용 계정을 방치하는 사례가 다수 확인됐다.</p> <figure class="figure_frm origin_fig" contents-hash="f0de1e8578646617abb85e5beb16ab069b9fc74a1bbaaa1f1f94979e3c064ce3" dmcf-pid="YGJeUumjOK" dmcf-ptype="figure"> <p class="link_figure"><img alt="개인정보보호위원회 자율보호정책과 박윤호 사무관이 15일 서울 중구 LW컨벤션센터에서 열린 ‘공공기관 개인정보 보호 방안 설명회’에서 발표하고 있다. 사진=권하영 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/15/Edaily/20251215172347849zwct.jpg" data-org-width="670" dmcf-mid="61JRpUrNs8" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/15/Edaily/20251215172347849zwct.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 개인정보보호위원회 자율보호정책과 박윤호 사무관이 15일 서울 중구 LW컨벤션센터에서 열린 ‘공공기관 개인정보 보호 방안 설명회’에서 발표하고 있다. 사진=권하영 기자 </figcaption> </figure> <div contents-hash="1d8693135069801bed1b7e688d92007f8fde96accfd830b690ea17cca7234860" dmcf-pid="GHidu7sAIb" dmcf-ptype="general"> <strong>퇴사·보직 변경 후에도 권한 그대로…“유출은 여기서 시작”</strong> </div> <p contents-hash="e3f14b5ee50cdf9226fbe90df5059e312bd7242be383f495fe9a980563f205b4" dmcf-pid="HxYyaNqFmB" dmcf-ptype="general">개인정보보호위원회 자율보호정책과 박윤호 사무관은 15일 서울 중구 LW컨벤션센터에서 열린 ‘공공기관 개인정보 보호 방안 설명회’에서 보호수준 평가 사례를 소개하며 접근권한 관리 미흡 문제가 현장에서 반복되고 있다고 지적했다.</p> <p contents-hash="cda010280bb5b988e5b196c384973c52c3418dd7eedca966684f200ed0c9576d" dmcf-pid="XMGWNjB3Oq" dmcf-ptype="general">대표적인 사례는 업무 조정이나 담당자 변경 시 신규 담당자에게는 권한을 부여하면서도, 전임 담당자의 접근권한은 회수하지 않는 관행이다. 이 경우 실제 업무와 무관한 계정이 개인정보 처리 권한을 계속 보유하게 되고, 이 지점이 개인정보 유출의 출발점이 된다는 설명이다.</p> <p contents-hash="fd277529961bc6a05df3c38df402a0f6604edab39c178c8f49ae18f96e37dcff" dmcf-pid="ZRHYjAb0Dz" dmcf-ptype="general">박 사무관은 “생성만 되고 말소되지 않은 권한이 차곡차곡 쌓이면서 실제 담당자가 아닌 사람들이 개인정보에 접근할 수 있는 구조가 만들어진다”며 “아주 기본적인 사항이지만 현지 실사에서 반복적으로 확인되는 취약점”이라고 말했다.</p> <p contents-hash="ac3e83cb3539f84ebed4b5f46aeb7f327300290d8418b24780ece0910c720f09" dmcf-pid="5eXGAcKpI7" dmcf-ptype="general">테스트·감사·개발·유지보수 목적의 계정이 업무 종료 후에도 정리되지 않고 남아 있는 사례도 적지 않았다. 일부 기관에서는 인사 시스템과 연동해 부서 단위로 권한을 관리하면서, 부서 내 세부 업무 변경이 권한 설정에 반영되지 않는 경우도 확인됐다.</p> <p contents-hash="f4f77e08d4dec6aaeeda3cb89325f1a5a6d9fe85c196f20fc452656965d598c6" dmcf-pid="1dZHck9UOu" dmcf-ptype="general"><strong>“이용기관이라 영향평가 대상 아니다” 오해 여전</strong></p> <p contents-hash="43cab81ab24cafc94170ff1ed2ce4fc547e2c36d1e2314182399f6254e85d7d7" dmcf-pid="tJ5XkE2uEU" dmcf-ptype="general">접근권한 관리와 함께 문제로 지적된 것은 개인정보 영향평가에 대한 잘못된 인식이다. 개인정보 영향평가는 개인정보처리로 인한 잠재적 침해 가능성을 사전에 분석해 개선방안을 도출하는 절차로, 일정 규모 이상의 개인정보를 처리하는 공공기관에는 의무적으로 적용된다.</p> <p contents-hash="8f352e6a0d0fe52bd3a3116318e1b701f65e928e9fd2bb1f00a5fc09904266e4" dmcf-pid="Fi1ZEDV7wp" dmcf-ptype="general">박 사무관은 “시스템 이용기관이라는 이유로 영향평가 대상이 아니라고 생각하는 경우가 많다”며 “영향평가는 시스템이 아니라 개인정보 파일 기준”이라고 강조했다. 시스템 운영기관이 따로 있더라도 개인정보 파일을 운용하는 공공기관이라면 영향평가 의무가 있다는 설명이다. 그럼에도 이용기관이라는 이유로 평가를 생략하거나, 운영기관이 이미 했을 것이라며 책임을 넘기는 사례가 적지 않다는 지적이다.</p> <p contents-hash="ca8c3b95ea4152dd92e0a583fcc8d848f84fa6a3143527e26dcfcc7d4da6e35a" dmcf-pid="3nt5Dwfzr0" dmcf-ptype="general">이와 함께 △보유기간이 지난 개인정보를 즉시 파기하지 않거나 연 1회 일괄 파기하는 관행 △법령 보관 대상 개인정보를 다른 정보와 분리하지 않고 저장하는 사례 △차세대 시스템 전환 과정에서 기존 시스템의 접속기록을 삭제하는 사례 등도 보호수준 평가 과정에서 반복적으로 확인된 미흡 사례로 제시됐다.</p> <figure class="figure_frm origin_fig" contents-hash="f51e36c229b1659d84aac23b05bee891d282a7be39557eb4dd12abd053dd3b5c" dmcf-pid="0LF1wr4qI3" dmcf-ptype="figure"> <p class="link_figure"><img alt="제이앤시큐리티의 김경하 대표가 15일 서울 중구 LW컨벤션센터에서 열린 ‘공공기관 개인정보 보호 방안 설명회’에서 발표하고 있다. 사진=권하영 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/15/Edaily/20251215172349105bjpo.jpg" data-org-width="670" dmcf-mid="Ql0Fms6bmf" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/15/Edaily/20251215172349105bjpo.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 제이앤시큐리티의 김경하 대표가 15일 서울 중구 LW컨벤션센터에서 열린 ‘공공기관 개인정보 보호 방안 설명회’에서 발표하고 있다. 사진=권하영 기자 </figcaption> </figure> <div contents-hash="f5c7afca7a426cff8757d763d1c7893285f1e5211196c33e84668a8a2a14fc29" dmcf-pid="pap3sOPKwF" dmcf-ptype="general"> <strong>영향평가, 법 점검이 아닌 ‘위험을 미리 거르는 절차’</strong> </div> <p contents-hash="a0bc9fd57e3d831a2c620c783299889476c2b3fb552adc9ba03aeaa42665f3ce" dmcf-pid="UNU0OIQ9wt" dmcf-ptype="general">이날 설명회에서는 개인정보 영향평가를 형식적 점검이 아닌 실질적인 개선 도구로 활용해야 한다는 제언도 이어졌다. 정보보호 컨설팅 전문기업 제이앤시큐리티의 김경하 대표는 “영향평가는 법 위반 여부를 확인하는 절차가 아니라, 아직 발생하지 않은 위험을 사전에 식별하고 제거하는 과정”이라고 강조했다.</p> <p contents-hash="cc6a07668d4d6c35605880c84cd82a10d7751b105851f9e7b39d7acd60300d6c" dmcf-pid="ujupICx2O1" dmcf-ptype="general">김 대표는 많은 기관이 영향평가를 체크리스트 기반의 형식적 점검으로 인식하고 있다고 지적했다. 이 경우 체크리스트에 없는 위험, 예컨대 AI·블록체인·RPA 등 신기술 도입에 따른 특화 위험이나 외부 시스템 연계 구조에서 발생할 수 있는 위협은 평가 단계에서 놓치기 쉽다는 설명이다.</p> <p contents-hash="b6864bba2e644272a25a9987fa608ce036868bd4ca4cfb37f4970b843edd88bf" dmcf-pid="7A7UChMVr5" dmcf-ptype="general">그는 개선 방안으로, 영향평가 단계에서부터 실제 시스템 운영 구조를 전제로 한 점검이 이뤄져야 한다고 강조했다. 개인정보 흐름도 역시 단순히 도식만 그려 제출하는 데 그칠 것이 아니라, API 연계나 데이터 전송·저장 구간 등 정보가 실제로 오가는 지점을 기준으로 작성돼야 한다는 것이다.</p> <p contents-hash="d11ace27371ef7afccdd514359b6ec039065ceb2e1776449a9f6a09698d9a830" dmcf-pid="zczuhlRfwZ" dmcf-ptype="general">김 대표는 “외부 시스템과 연계되는 API 구간은 개인정보가 집중적으로 이동하는 핵심 지점인데, 이런 구간이 흐름도에서 뭉뚱그려 표현되는 경우가 많다”며 “이 상태로는 위험을 평가하는 것 자체가 어렵다”고 지적했다.</p> <p contents-hash="97c52f488c073d203ac52fae4f4acd4925b021afeabbe2a6ab0bf17770cfd6e9" dmcf-pid="qkq7lSe4OX" dmcf-ptype="general"><strong>“취약점 0건이 좋은 평가 아냐…많이 드러날수록 정상”</strong></p> <p contents-hash="6e35d9fbb742846ad4703be121e1150dd4a31976acfd24b16779b0ae3287f24d" dmcf-pid="BEBzSvd8rH" dmcf-ptype="general">신기술 도입에 대한 평가 방식도 도마에 올랐다. AI·블록체인·RPA 등 새로운 기술을 활용하면서도 기존 평가 체크리스트만 그대로 적용해 영향평가를 마치는 사례가 적지 않다는 것이다. 이 경우 해당 기술로 인해 새롭게 발생할 수 있는 위험은 평가 단계에서 아예 드러나지 않는다.</p> <p contents-hash="8b9741610630128fb076f6bc31222c942dafef50c4b91ddb3f018c1d989ee9b2" dmcf-pid="bDbqvTJ6EG" dmcf-ptype="general">김 대표는 “영향평가에는 대상 시스템의 특성을 반영해 점검 항목을 새로 만들어 넣는 단계가 포함돼 있는데, 이 절차가 제대로 활용되지 않고 있다”며 “신기술을 쓴다면 그에 따른 위험도 평가 항목으로 직접 만들어야 한다”고 설명했다.</p> <p contents-hash="e283078e5a066815eb4d6847c45d8a3f7806ee89d0857a1d6a8ff074fa71ffb5" dmcf-pid="KGJeUumjrY" dmcf-ptype="general">그는 “영향평가는 안내서가 업데이트되기를 기다리는 절차가 아니라, 평가 시점에 적용되는 최신 제도를 기준으로 선제적으로 점검해야 한다”며 “그렇지 않으면 평가 결과와 실제 운영 환경 사이에 괴리가 생길 수밖에 없다”고 말했다.</p> <p contents-hash="1d36dbbafe75037eb5abb5994e633e0c0e1912d4e1e42e0d162f60be41b4ca7b" dmcf-pid="9Hidu7sAmW" dmcf-ptype="general">김 대표는 ‘취약점 0건’ 평가에 대해서도 경계해야 한다고 강조했다. 그는 “영향평가는 문제가 없다는 결론을 내리는 절차가 아니라, 운영 단계에서 사고로 이어질 수 있는 위험을 사전에 찾아내는 과정”이라며 “취약점이 많이 도출될수록 오히려 정상적인 평가”라고 말했다.</p> <p contents-hash="b1d3d57986bf9a067c08c15bef900f411f68b61eb3cb691db029eae14529ffee" dmcf-pid="2XnJ7zOcsy" dmcf-ptype="general">권하영 (kwonhy@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 누누티비 폐쇄 2년…불법 스트리밍 ‘풍선효과’ 줄어들까 12-15 다음 "일본도 반한 K게임"…넥슨 '블루 아카이브', 세계로 12-15 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
