‘서구 아라동’ 선거 사무원 1,066명의 개인정보 유출…
지난 5월, 인천 서구 아라동 행정복지센터 홈페이지에 게시된 게시물 하나가 1,000여 명의 개인정보 유출 사고로 이어졌습니다. 해당 게시물은 ‘장애인 특별공급 기관추천 대상자 명단 접수 안내’였지만, 첨부된 파일은 전혀 다른 내용이었습니다.
제21대 대통령 선거 당시 투표사무원으로 근무한 공무원 1,066명의 개인정보가 담긴 문서가 실수로 업로드된 것입니다. 게시된 파일에는 성명, 생년월일, 성별, 휴대전화 번호, 소속 부서 및 직위, 당원 여부, 국적 여부 등 총 9개의 개인정보 항목이 포함되어 있었으며, 해당 게시물은 약 3주간 게시된 뒤 삭제되었고, 조회수는 31회로 확인됐습니다.
서구청은 사고 인지 후 즉시 파일을 삭제하고 피해자들에게 개별 통지했으며, 내부 교육과 점검을 강화하겠다고 밝혔습니다.
이 사고에서 우리가 돌아봐야 할 점
이번 유출 사고는 정보 게시와 관리 절차 전반에 대한 점검 필요성을 상기시킵니다.
공식 게시물에 잘못된 첨부파일이 올라간 배경은 복잡할 수 있습니다. 작성 과정의 실수, 파일명 혼동, 검수 단계의 누락 등 다양한 원인이 개입됐을 가능성이 있습니다. 하지만 가장 중요한 사실은, 정보의 내용과 관계없이 잘못 공개된 파일이 외부에 노출됐다는 점입니다.
어떤 정보든, ‘게시된 순간’부터 위협이 됩니다
유출된 개인 정보가 하나하나 모이게 되면, 사회공학 공격의 기반 자료로 사용될 수 있는 구조가 형성됩니다. 예를 들어, 아래와 같은 메시지가 실제 공무원에게 도착할 수 있습니다.
안녕하세요, ○○구청 선거지원팀입니다.
대선 근무 관련 서류 정리가 진행 중이니,
첨부된 링크에서 개인정보를 확인해 주시기 바랍니다.
이처럼 구체적인 직위와 근무 이력이 포함된 정보가 함께 공개되면, 받는 사람으로 하여금 메시지의 신뢰도를 높여 링크 클릭을 유도하는 사회공학 공격에 노출될 위험이 커집니다.
현재 피해는 없지만, 잠재적 위협은 남습니다
서구청은 유출 사실을 인지한 직후 피해자들에게 사고 사실을 통지하고, 개인정보 피해 접수창구도 마련했습니다. 현재까지 실제적인 2차 피해 사례는 보고되지 않았습니다.
그러나 정보가 외부에 노출된 이상, 향후 어떤 경로로 악용될지 예측하긴 어렵습니다. 더구나 이러한 유형의 사고는 언제든지 다른 정보, 다른 명분의 게시물에서도 반복될 수 있습니다.
중요한 건 특정 항목의 민감성이 아니라, 정보가 외부에 노출될 수 있는 경로가 열려 있었다는 사실 자체입니다.
블랙쏘세지는 링크를 내 기기 대신, 안전한 공간에서 엽니다
유출된 정보는 종종 문자나 이메일 속 링크 공격으로 이어집니다. 가짜지만 그럴듯한 메시지 하나로, 사용자가 무심코 클릭하게 만드는 것입니다.
블랙쏘세지는 원격 브라우저 격리 기술을 통해, 스마트폰이나 컴퓨터가 아닌 외부의 안전한 브라우저에서 해당 링크를 열람하도록 지원합니다. 링크 속에 악성코드가 숨어 있더라도, 내 기기에는 영향이 미치지 않습니다.
