Home > 전체기사

거제시 통합채용 홈페이지에 개인정보 노출 가능성 높아... “지원자 제보로 확인중”

입력 : 2024-06-14 17:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
타인의 수험번호와 이름 입력할 경우 응시원서 및 제출서류 열람 가능
합격자 조회 시스템에서 수험번호, 이름 외에 비밀번호 입력토록 개선
거제시 통합채용 홈페이지에 ‘노출 가능성’과 관련해 사과문 게재


[보안뉴스 김영명 기자] 2024년 경상남도 거제시 공공기관 직원 통합채용 시험의 최종합격자 발표 과정에서 타인의 수험번호와 성명을 입력할 경우 응시원서 및 제출서류를 열람할 수 있는 것으로 확인됨에 따라 지원자들의 개인정보가 노출됐을 가능성이 제기됐다.

▲경남 거제시에서 공공기관 직원 채용 수험생의 개인정보 노출 가능성에 대해 안내했다[자료=거제시 통합채용 홈페이지]


이에 거제시는 최근 거제시 통합채용 홈페이지에 ‘개인정보 노출 가능성을 안내한다’며 사과의 뜻을 밝혔다. 이와 관련 거제시 측은 시 채용시험 지원자의 제보에 의해 가능성이 있어 공지를 올린 것으로, 아직 사태를 파악 중이라고 밝혔다.

거제시는 5월 24일과 6월 7일에 ‘2024년 거제시 공공기관 직원 통합채용 최종합격자 공고’를 사업부서별로 두 번에 걸쳐 공지했다. 이어 6월 7일에 ‘개인정보 노출 가능성으로 인한 사과 안내’를 게시했다.

이와 관련해 거제시 관계자는 “6월 4일에 수험생 중 한 분의 제보를 받아 유출 가능성이 있다는 사실을 인지했다”며 “제보를 받은 직후 통합채용 홈페이지를 관리·운영하는 회사 측에 관련 자료를 요청해서 파악 중이지만 1차적으로 받은 로그 상으로는 유출된 기록은 발견되지 않았다”고 밝혔다.

거제시 통합채용 홈페이지는 ‘입사지원/합격자 확인’ 란이 있어 합격자 여부를 확인할 수 있다. 거제시 관계자는 “이번 시험에서는 총 32명의 신규 직원을 채용하려 하는데 시험 응시자가 320명으로 10배수에 이른다”면서도 “수험번호는 13자리 난수로 생성돼 이를 정확하게 알 수 있는 사람은 시험 응시 당사자밖에 없을 것”이라고 말했다. 이에 따라 거제시 측은 수험생 중 한 사람이 시험 과정에서 불법적인 행동을 통해 다른 수험자의 수험번호와 성명 등 기본정보를 알게 됐고, 이를 악용해 무단으로 조회한 것 같다고 설명했다.

현재 해당 홈페이지에 접속해 입사지원/합격자 확인을 클릭하면 수험번호, 성명, 비밀번호 등 3개의 사항을 정확하게 입력해야만 확인이 가능하다. 처음에는 합격자를 확인할 수 있는 이 창에서 수험번호와 성명만 입력을 하면 곧바로 조회가 가능했지만, 6월 4일 제보를 받은 직후, 추가 조치를 통해 비밀번호까지 입력하도록 시스템을 개선했다.

거제시 관계자는 “홈페이지 운영 외주 회사에 상세한 로그 기록이나 불법적인 접속으로 의심되는 기록을 추가로 달라고 요청해 놓았고, 다음 주까지 제출을 요구했다”며 “아직 어느 정도 노출이 됐는지, 어떤 개인정보 항목이 노출됐는지 전혀 알 수는 없지만 320명 응시자 모두의 개인정보가 한꺼번에 노출됐을 가능성은 없는 것으로 보인다”고 말했다.

현재 거제시 통합채용 홈페이지를 구축하고 관리하는 회사는 이번에 공공기관 통합채용을 위해 입찰을 거쳐 용역을 맡기게 됐으며, 거제시와는 처음으로 협업을 하게 된 업체다. 해당 홈페이지 관리 기업도 관련된 채용이 모두 끝나면 채용 홈페이지에 입력된 개인정보는 모두 삭제, 폐기하고 홈페이지도 서비스를 중단하게 된다.

거제시 통합채용 홈페이지는 입사지원 과정에서는 아이디와 비밀번호 등 2개 항목만 입력하면 로그인이 가능했지만, 개선 조치가 완료된 이후 합격자 확인을 위해서는 이름, 수험번호, 비밀번호 등 총 3개 항목을 입력해야만 확인이 가능하다. 그 외에 홈페이지 자체에 취약점이 있는 것으로 파악되지는 않았다는 게 거제시 측의 설명이다.

특히 홈페이지에 입사지원을 할 때는 기본 개인정보 입력과 함께 추가로 과거 재직한 회사명, 운전면허증을 포함한 보유 자격증 등은 별도의 첨부파일로 입력하도록 시스템을 구성했다. 이렇게 첨부파일로 업로드 된 파일도 노출됐을 가능성이 있다고 설명했다.

거제시 관계자는 “다음 주에 용역업체가 추가로 보내오는 로그 기록 등 관련 자료를 분석해서 실제 개인정보가 유출됐는지 여부를 확정해 홈페이지에 다시 공지할 계획”이라며, “현재 해당 사실을 인지한 직후 한국인터넷진흥원에 신고했다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)