우리나라 인구 절반 이상인 약 3천4백만건 개인정보를 보유하고 있는 도로공사의 IT 보안이 허술하게 관리되고 있는 것으로 드러났다. 특히, 교통상황을 알려주는 도로공사의 교통시스템은 자칫 사이버테러 또는 전산장애가 발생할 경우, 국민 실생활에 막대한 영향을 미칠 수 있기에 그 충격은 더하다. 도로공사의 허술한 IT보안 개선이 시급하다.
안행부 14년 공공기관 정보자원 도로공사 운영현황 조사서에서 최근 1년 새 도로공사 전산장애가 5건 발생한 것으로 나타났다.
전산분야 보안컨설팅 및 외부기관 모의해킹은 5년 째 단 한 차례도 실시하지 않은 것으로 나타났다. 반면 도로공사에 비해 IT 규모가 작은 농어촌공사, 마사회, AT 등도 보안컨설팅 및 외부기관 모의해킹을 통해 취약점을 도출해 개선해 나가고 있는 상황이다.
도로공사는 지난해 안행부에서 개인정보보호법 제29조 위반으로 지적당했다. 도로공사 홈페이지에서 입력한 주민번호가 암호화되지 않은 채 그대로 노출 된 것이다. 또한 개인정보 영향평가 용역결과에서 개인정보 관리가 미흡하다는 평가를 받았다. 전자조달, 후불하이패스, 용지보상 등의 3개 시스템에서 입찰담당자 개인정보 및 회사 대표자 주민번호 등을 함께 관리하는 것을 비롯해 개인정보 관리에 미흡성이 발견됐다. 정보보안 예산은 작년대비 20% 삭감됐다. (13년: 3,550백만원 → 14년: 2,819백만원)
도로공사 정보보안최고책임자(CISO) 정보보안과 전혀 무관한 인물이다. CISO는 도공 노사협력팀장, 호남지역본부장, 비서실장 등을 역임했으며, 정보보안과 전혀 관련 없는 경력의 소유자다.
2014년 국정원 정보보안 관리실태평과결과 도로공사기관장관심도는 79.17로 공기업평균 89.45에 크게 못 미친 것으로 나타났다. 이에 대해 하태경 의원은 “국민생활에 영향을 미치는 도로공사의 IT 규모가 상상 이상”이라며 “국민 절반 이상의 개인정보 건을 보유한 도로공사의 IT 보안이 사이버테러나 전산장애에 의해 마비될 경우, 국민적 혼란에 직면할 수 있기 때문에 이에 대한 철저한 관리 운영이 절실하다”고 강조했다.
[첨부] 도로공사 보유 개인정보 현황(14년 7월 기준)
개인정보파일명 수집목적 수집방법 보유건수 수집항목 후불 하이패스카드 고객정보 후불 하이패스카드 사용내역의 처리 시스템 연계를 통한 수집 10,160,000 성명, 후불 하이패스카드 번호 OBU단말기 고객파일 단말기 고객 민원응대, 단말기 A/S, 미납 안내등 오프라인 수집 (개인의 신청서를 통한 서면 수집) 9,798,996 (필수) 성명, 연락처, 차량명, 차량번호 / (선택) 이메일 하이패스 통행정보 통행료 수납, 단말기등의 도난 분실 시 처리, 과/오납 분쟁처리 시스템 연계를 통한 수집 7,335,865 단말기 번호, 통과시간, 통과영업소, 차로번호, 차량번호 통행료 미납차량 관리파일 고속도로 통행료 미납 및 면탈요금 징수 시스템 연계를 통한 수집 2,687,328 성명, 자동차등록번호, 차명, 사용본거지, 주소, 색상, 말소일자 개인별 감면카드 발행파일 국가유공자 및 장애인 등 고속도로 통행료 할인 감면카드 발급 및 부당사용자 심사 시스템 연계를 통한 수집 1,401,118 성명, 주민등록번호, 감면카드번호, 차량번호, 주소, 전화번호 운행제한차량 단속업무관련 관리파일 운행제한차량 단속업무 수행 오프라인 수집 (개인의 신청서를 통한 서면 수집), 시스템 연계를 통한 수집 773,289 성명, 전화번호, 주소, 차량번호 용지보상 관리파일 용지보상 자료관리 오프라인 수집 (개인의 신청서를 통한 서면 수집) 498,292 성명, 주민등록번호, 전화번호, 주소, 토지소재지, 지번, 면적, 보상금액, 보상일자 고객민원파일 고객 민원 처리 오프라인 수집 (개인의 신청서를 통한 서면 수집), 온라인 수집 (홈페이지 회원신청, 전자접수 등), 시스템 연계를 통한 수집 432,774 (필수) 성명, 전화번호, 주소, 민원내용 / (선택) 이메일 단말기 직접등록 홈페이지 가입자정보 단말기 직접등록 홈페이지 이용 온라인 수집 (홈페이지 회원신청, 전자접수 등) 662,918 이름, 아이디, 연락처, 이메일 전자조달 회원관리파일 전자조달 서비스 제공 온라인 수집 (홈페이지 회원신청, 전자접수 등), 시스템 연계를 통한 수집 98,331 대표자성명, 대표자주민등록번호, 패스워드, 이메일, 담당자성명, 담당자휴대전화번호 원인자 부담금 관리파일 교통사고 원인자 부담금 징수 교통사고 현장에서 직접 수집 64,894 성명, 주민등록번호, 전화번호, 주소, 차량번호 U-러닝수강생 회원정보파일 U-러닝 수강생 교육 이력관리 온라인 수집 (홈페이지 회원신청, 전자접수 등) 31,717 성명, 주민등록번호, 전화번호, e-Mail, 주소, 소속기관 유휴지 관리파일 유휴지 매각, 임대자료 관리 오프라인 수집 (개인의 신청서를 통한 서면 수집) 11,459 성명, 주민등록번호, 주소, 전화번호 도로점용허가 신청자 정보 파일 도로점용 허가 신청자 관리 오프라인 수집 (개인의 신청서를 통한 서면 수집), 온라인 수집 (홈페이지 회원신청, 전자접수 등) 7,167 성명, 주민등록번호, 전화번호, 주소, 소속기관 채권압류 및 공매 파일 채권압류 대상차량 관리, 압류통지서 발송 자동차 등록 원부 415 성명, 주민등록번호, 주소, 전화번호 배구단 홈페이지 회원정보 파일 배구단 홈페이지 회원 관리 및 서비스 제공 온라인 수집 (홈페이지 회원신청, 전자접수 등) 18 (필수) 성명, 주소, 휴대폰번호, 이메일 / (선택) 회원사진, 생년월일 개인정보 총 보유건수 33,964,581
