승객 113만 명 여권정보 암호화되지 않고 방치
인천국제공항 개인정보관리시스템에 대한 총제적 점검이 필요하다는 지적이 제기됐다.
국회 국토교통위원회 정성호 의원(새정치민주연합)은 14일 인천국제공항공사에 대한 국정감사에서 인천공항 정보보안 총괄책임자의 개인정보 유출문제를 꼬집으며 이 같이 지적했다.
정 의원이 인천공항공사로부터 제출받은 ‘2014년 자체감사결과 처분요구서’에 따르면 정보보안 업무를 포함해 관련시스템을 총괄하는 정보보안 담당관이 지난해 3월부터 5월까지 개인정보가 포함된 보안문서 863건을 불법 유출한 것으로 드러났다.
더욱이 인천공항 감사실과 국민권익위원회가 주고받은 비공개 문서와 국토교통부 비공개 문서에는 당시 인천공항공사 직원과 공사 간 소송과 같이 민감한 개인정보가 포함돼 있었다.
이에 인천공항공사 감사실은 해당 책임자를 전자정부법 제35조, 개인정보보호법 제15조 및 제17조 위반으로 중징계에 해당하는 정직처분을 내렸다.
인천공항공사는 지난해 9월에도 △재무회계 업무관련 개인정보처리 부적정 △주차요금 감면관련 개인정보관리 부적정 등의 문제로 감사실로부터 지적을 받았다.
이어 올해 2월 감사원이 시행한 ‘국가통합교통정보체계 구축 및 활용실태’ 감사에서 인천공항의 핵심정보인 ‘운항정보관리시템’이 해킹당하고 승객 113만 명의 여권정보가 암호화되지 않고 방치된 사실이 밝혀졌다.
특히 지난해 9월 자체감사결과 처분요구서에 따르면 인천공항공사의 재무회계 시스템에 등록된 4500개 이상의 주민등록번호 및 계좌번호 등의 개인정보가 암호화 되지 않았다.
더욱이 협력사 직원 등이 해당 개인정보에 무단으로 접근할 수 있을 만큼 보안시스템이 취약한 것으로 드러났다.
이는 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 않게 암호화 의무를 규정한 개인정보보호법 제24조2를 위반한 것이다.
또한 재무회계업무와 관련해 개인정보를 수집·이용하는 대부분의 직원들이 개인정보 활용 동의조차 받지 않는 등 개인정보보호법 제15조 2항의 규정절차도 이행하지 않았다.
이 뿐만아니라 주차관제시스템에 등록된 장애인과 국가유공자 등의 개인정보 데이터베이스(DB) 암호화 및 서버 접근제어 등의 기술적 안전성을 확보하려는 조치가 없었다.
더불어 개인정보를 관리하는 위탁업체와의 개인정보처리 책임방침이 수립되지 않았다는 사실도 밝혀졌다.
허술한 정보보안과 해킹위험을 은폐하려 한 정황도 드러났다.
정성호 의원실은 “최근 3년간 인천공항공사에 대한 해킹 시도, 적발건수 및 조치결과를 공사 측에 요청했으나, 2012년부터 현재까지 이에 대한 적발 내용이 없다”는 답변을 들었다고 밝혔다.
그러나 국토부가 제출한 ‘최근 3년간 국토부 및 산하기관 대상 사이버 침해탐지 현황’ 자료에 따르면 인천공항에 대해 2013년 45건, 2014년 216건의 해킹시도가 있었던 것으로 나타났다.
정성호 의원은 “국가 주요 정보통신 기반시설로 지정될 만큼 정보보안이 중요한 인천공항공사에서 정보보안 책임자가 개인정보를 외부로 유출한 것은 허술한 개인정보 관리실태를 여실히 보여준다”고 지적했다.
이에 더해 “자체감사와 연이은 감사원 감사에서도 정보보안에 문제가 있는 것으로 드러난 만큼 개인정보와 정보보안을 담당하는 인원들에 대한 재교육 실시와 처벌강화, 사이버 보안 및 개인정보 관리시스템에 대한 재점검이 신속히 이뤄져야 한다”고 강조했다.
