'010'만 입력해도 직원1300여명 정보 술술
전문가 "가입 권한 검증부터 다시 해야"
|
6일 본지 취재에 따르면 석유공사 노동조합이 운영하는 앱은 회원가입 시 아이디에 사번을 입력하도록 돼 있지만 임의의 문자나 숫자를 입력해도 정상적으로 가입이 가능하다. 가입 과정에서 실제 석유공사 직원이나 조합원 여부를 확인하는 절차는 이뤄지지 않고 있다. 석유공사 노조는 별도 홈페이지 없이 해당 앱을 통해 조합 소개와 주요 공지, 자유발언, 경조사, 직원 정보 등 각종 서비스를 제공하고 있다.
문제는 가입 이후 공지사항과 게시글은 권한이 없어 열람할 수 없지만 직원 검색 기능은 별다른 제한 없이 이용할 수 있다는 점이다. 직원 검색란에 '010'을 입력하면 앱에 등록된 직원들의 이름과 사번, 부서명, 휴대전화번호가 모두 공개되고 있다. 한 페이지당 20명씩 총 66페이지가 확인돼 약 1300여 명의 직원 정보가 조회됐고, 일부 직원은 과거 석유공사에서 퇴직했음에도 그대로 정보가 유지되고 있는 것으로 확인됐다.
기획예산처 홍보팀부터 사장 비서팀, 정보보안팀, 감사실, 석유사업처 원유트레이딩팀, 동해탐사팀, 글로벌기술센터 시추팀 등 다양한 부서 정보가 여과없이 노출되는 상황이다. 석유공사 노조 측은 본지가 이 같은 문제를 지적하자 현재는 앱의 추가 회원가입 서비스를 차단한 상태다.
노조 관계자는 "현재 노조앱 전체 메뉴 접근 기능에 대한 조치 작업을 진행 중"이라며 "기술적으로 가능한 모든 부분을 조치할 예정"이라고 전했다. 노조 측은 그동안 개인정보 노출 여부와 추가 조사 계획에 대한 질의에 대해선 "아직 결정된 바 없다"고 밝혔다.
최근 공공기관들은 직원을 사칭한 보이스피싱과 물품 대리구매 사기 등을 우려해 홈페이지에서 직원 이름을 삭제하거나 최소한의 정보만 공개하는 추세다. 석유공사 역시 지난해 10월 "공사를 사칭해 업체에 물품 대리구매를 요구하는 사기 사례가 발생하고 있다"며 주의를 당부한 바 있다. 현재 석유공사 홈페이지 조직도에는 담당자 이름 등 개인정보로 판단되는 내용은 공개되지 않고 있다.
하지만 내부 직원 정보를 관리하는 노조 앱에서는 외부 가입자가 직원 연락처 등 개인정보를 쉽게 조회할 수 있었던 것과 관련해 제3자 접근통제에 허술했다는 지적이 나온다.
염흥열 순천향대 정보보호학과 명예교수는 "특정한 사람만 가입할 수 있는 커뮤니티라면 가입 권한이 있는 사람인지 확인하는 절차가 있어야 하지만, 그 절차가 생략된 것으로 보인다"며 "외부인인데도 내부 소속원의 개인정보를 볼 수 있다면 개인정보 보호를 위한 안전성 확보 조치인 접근통제가 미흡한 것으로 볼 수 있어 점검할 필요가 있다"고 말했다.
|











