경기 오산시는 홈페이지를 통해 이름과 생년월일, 주민등록번호, 주소 등 회원 14만여 명의 개인정보를 관리하면서도 지난 2월까지 정보의 수집, 이용, 파기 등과 관련한 보안대책을 수립하지 않고 있었다.
이런 사실은 경기도가 지난해부터 올 3월까지 실시한 종합감사 결과 드러났다. 오산시 이외에도 포천시, 안성시 등 상당수 시ㆍ군이 보안시스템 등을 허술하게 운영해온 사실이 확인됐다.
경기지역 지방자치단체의 정보보안 시스템이 해킹 등 사이버 공격에 취약한 것으로 나타났다. 10만 명이 넘는 개인정보를 다루면서도 관리대책을 마련하지 않는 등 최근 ‘공시생’에 뚫린 정부청사 못지 않는다는 지적이 나오고 있다.
오산시는 납세자 등의 개인정보를 송ㆍ수신하는 정보통신망에도 보안서버를 구축하지 않았다. 이는 개인정보 분실, 도난, 유출, 위ㆍ변조 등이 방지하기 위한 기술적ㆍ물리적 조치를 하도록 한 ‘개인정보보호법’에 위배된다는 게 경기도의 지적이다.
포천시는 주민등록번호가 포함된 주ㆍ정차위반 과태료 부과자료 등에 대한 안정성 대책을 수립하지 않았다. 지난해 주ㆍ정차위반 과태료 ‘간단e납부시스템’ 구축 용역을 추진하면서는 특정업체 직원들이 계약을 맺기도 전에 서버가 있는 교통지원종합상황실을 들락거리며 자료를 취급하는 등 청사 방호망에도 허점을 드러냈다.
간단e납부시스템은 내부 행정망과 시 금고인 농협은행의 외부 망을 연결하는 것이어서 ‘국가ㆍ공공기관 발주 용역사업 보안관리 요령’ 등에 의해 국가정보원의 보안성 검토도 받아야 했지만, 이마저도 이행하지 않은 것으로 확인됐다.
안성시는 지난 2014년 ‘방범용 폐쇄회로(CC)TV 및 통합관제시스템 유지보수용역’을 벌이면서 범죄 전력이 있는 용역업체 직원을 한 달이 넘도록 걸러내지 못했다. 비밀 및 중요외주 용역을 맡길 때는 외부인원에 대한 신원조사와 보안교육을 철저히 하고 용역기간 인력을 멋대로 교체하는 못하도록 한 ‘국가정보보안기본지침’ 등을 무시, 통합관제시스템 등이 보안위협에 노출되게 한 셈이다.
안성시는 지적공부 정리를 신청한 민원인들에게 법률에 근거하지 않는 주민등록증이나 자동차 운전면허증을 제시하도록 한 뒤 복사해 서류철에 방치하는 등 개인정보를 부적절하게 수집, 적발됐다.
도는 각 시ㆍ군에 다시는 이런 사례가 발생하지 않도록 대책 마련을 주문했다.
경기도 관계자는 “시ㆍ군 공무원들의 정보보안에 대한 인식이 여전히 취약했다”면서 “보안의식을 높이고 근무기강을 강화해 나갈 것”이라고 말했다.
유명식기자 gija@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0