고용노동부는 “24일 KBS 기자로부터 온라인청년센터 구직활동지원금 신청 페이지 개인정보 노출 제보 관련 사실 확인을 요청받았다”며 “이에 원인 분석 후 개인정보 무단 열람 방지 조치를 완료했다”고 설명했습니다. 또 “이후 긴급 대응팀을 구성하고, 침해 사실을 분석해 후속조치를 취했다”고 밝혔습니다.
[기사 내용]
ㅇ 청년구직활동지원금 신청서를 받는 웹사이트의 보안이 허술
ㅇ 개발자 도구로 들어가 숫자 몇 개만 바꾸면 신청인의 개인 정보가 모두 보인다
ㅇ 다른 신청인 이름과 주민번호 앞자리, 전화번호 등 내밀한 정보도 확인할 수 있다
[노동부 설명]
□ (최초 인지)‘20.4.24(금), 10:13 KBS 사회부 기자로부터 온라인청년센터 구직활동지원금 신청 페이지 개인정보 노출 제보 관련 사실 확인 요청
▷ 제보 내용 : 구직활동지원금 신청자가 온라인청년센터(http://www.youthcenter.go.kr) [구직활동지원금] 메뉴 [지원금 신청] 페이지의 [가구소득정보 입력] 탭에서 웹 브라우저의 ‘개발자 도구’를 활용해 소스코드 상의 특정함수번호를 변경했을 때 타 신청자의 개인정보가 나타난다는 제보
□ (원인 분석)‘20.4.24(금), 12:33 제보 관련 내용 확인 및 원인 분석 완료
○ 구직활동지원금 신청 페이지에서 웹 브라우저의 ‘개발자도구’ 기능을 사용하여 소스코드 중 구직활동지원서 신청서번호*를 변경할 경우 타인의 신청자료 열람 가능 확인
* 구직활동지원금 신청서 번호는 전산으로 자동부여 되므로 신청자 본인 및 일반인도 확인할 수 없음
□ (긴급 대응조치)‘20.4.24(금), 13:32 원인 분석 후 개인정보 무단 열람 기능 방지 조치 완료
○ 구직활동지원금 신청 페이지에서 소스코드 상의 신청서 번호를 임의로 변경이 불가능 하도록 조치하여 현재는 타인의 개인정보 열람 불가능
□ (긴급 대응팀 구성)‘20.4.24(금), 13:55~14:28 사고 원인 분석 및 피해 규모 파악, 긴급 조치사항 실행 등을 위한‘침해사고대응팀’구성 완료
○ 한고원 개인정보 침해사고 대응절차에 따라‘침해사고대응팀*’구성
* 총괄 대응반, 실태 조사반, 기술 지원반, 민원 대응반, 법무반으로 구성
□ (침해 사실 분석)‘20.4.24(금), 17:20 ~ 4.26(일) 피해분석 결과 20건(가족 포함 63명)의 개인정보를 열람한 것으로 나타남
○ 파라미터 변조 방식을 통해 신청자 및 보호자 주민번호 앞자리 7개, 졸업증명서, 가족관계증명서를 열람한 것으로 확인하였음
□ (후속 조치)‘20.4.26(일) ~ 4. 27(월) 개인정보 노출 통지, 재발방지 조치, 시스템 보안점검 및 보안성 강화 조치 실시
○ 침해 피해자에게 개인정보 노출 사실 즉시 통보
○ 운영 시스템 전반에 대한 보안점검 및 개인정보보호 강화
○ 개인정보 침해사고 대응절차 직원교육(위탁업체 포함) 실시
문의 : 고용노동부 공정채용기반과(044-202-7344), 한국고용정보원 청년정책허브센터(043-870-8867)