온라인청년센터 개인정보 무단열람 방지 조치완료

2020.04.27 고용노동부

글자크기 설정

고용노동부는 “24일 KBS 기자로부터 온라인청년센터 구직활동지원금 신청 페이지 개인정보 노출 제보 관련 사실 확인을 요청받았다”며 “이에 원인 분석 후 개인정보 무단 열람 방지 조치를 완료했다”고 설명했습니다. 또 “이후 긴급 대응팀을 구성하고, 침해 사실을 분석해 후속조치를 취했다”고 밝혔습니다.

4월 26일 KBS <18만 명 신청한 ‘청년구직지원금’… 사이트 개인정보 관리 허술>에 대한 고용노동부의 설명입니다

[기사 내용]

ㅇ 청년구직활동지원금 신청서를 받는 웹사이트의 보안이 허술

ㅇ 개발자 도구로 들어가 숫자 몇 개만 바꾸면 신청인의 개인 정보가 모두 보인다

ㅇ 다른 신청인 이름과 주민번호 앞자리, 전화번호 등 내밀한 정보도 확인할 수 있다

[노동부 설명]

□ (최초 인지)‘20.4.24(금), 10:13 KBS 사회부 기자로부터 온라인청년센터 구직활동지원금 신청 페이지 개인정보 노출 제보 관련 사실 확인 요청

▷ 제보 내용 : 구직활동지원금 신청자가 온라인청년센터(http://www.youthcenter.go.kr) [구직활동지원금] 메뉴 [지원금 신청] 페이지의 [가구소득정보 입력] 탭에서 웹 브라우저의 ‘개발자 도구’를 활용해 소스코드 상의 특정함수번호를 변경했을 때 타 신청자의 개인정보가 나타난다는 제보

□ (원인 분석)‘20.4.24(금), 12:33 제보 관련 내용 확인 및 원인 분석 완료

○ 구직활동지원금 신청 페이지에서 웹 브라우저의 ‘개발자도구’ 기능을 사용하여 소스코드 중 구직활동지원서 신청서번호*를 변경할 경우 타인의 신청자료 열람 가능 확인

* 구직활동지원금 신청서 번호는 전산으로 자동부여 되므로 신청자 본인 및 일반인도 확인할 수 없음

□ (긴급 대응조치)‘20.4.24(금), 13:32 원인 분석 후 개인정보 무단 열람 기능 방지 조치 완료

○ 구직활동지원금 신청 페이지에서 소스코드 상의 신청서 번호를 임의로 변경이 불가능 하도록 조치하여 현재는 타인의 개인정보 열람 불가능

□ (긴급 대응팀 구성)‘20.4.24(금), 13:55~14:28 사고 원인 분석 및 피해 규모 파악, 긴급 조치사항 실행 등을 위한‘침해사고대응팀’구성 완료

○ 한고원 개인정보 침해사고 대응절차에 따라‘침해사고대응팀*’구성

* 총괄 대응반, 실태 조사반, 기술 지원반, 민원 대응반, 법무반으로 구성

□ (침해 사실 분석)‘20.4.24(금), 17:20 ~ 4.26(일) 피해분석 결과 20건(가족 포함 63명)의 개인정보를 열람한 것으로 나타남

○ 파라미터 변조 방식을 통해 신청자 및 보호자 주민번호 앞자리 7개, 졸업증명서, 가족관계증명서를 열람한 것으로 확인하였음

□ (후속 조치)‘20.4.26(일) ~ 4. 27(월) 개인정보 노출 통지, 재발방지 조치, 시스템 보안점검 및 보안성 강화 조치 실시

○ 침해 피해자에게 개인정보 노출 사실 즉시 통보