국민건강보험공단이 관리하는 수급자 개인정보가 외부로 노출되는 사고가 발생했다. 공단 측은 서버 과부하로 발생한 일시적 사고라고 해명했으나, 보안 전문가들은 공단이 허술하게 설계된 시스템을 주기적으로 점검하지 않고 운영했을 가능성을 제기했다.
9일 국회 보건복지위원회 조국혁신당 김선민 의원실이 공단에서 제출받은 자료를 보면, 지난 1일 A 장기요양기관 수급자와 종사자 등 182명의 개인정보가 노출됐다. A 기관은 공단 위탁을 받아 집에서 돌봄을 필요로 하는 대상자들에게 요양보호사를 보내는 민간기관이다. 이날 오전 10시쯤 B 장기요양기관에서 “홈페이지에 로그인을 했는데, 우리 기관이 아닌 A 기관의 수급자 데이터가 조회된다”는 민원이 공단으로 다수 접수됐다. A 기관 수급자와 종사자 등의 성명, 생년월일, 전화번호, 요양등급 등 민감한 개인정보가 전혀 관계없는 타인에게 노출됐다.
공단이 현재까지 파악한 바로는 원인은 ‘서버 과부하’다. 매월 1일에는 전월분 요양급여 신청을 위해서 요양기관 사이트에 접속자가 몰리는데, 이로 인해 서버에 과부하가 걸리면서 오류가 발생했다는 것이다. 공단 측은 문제 발생 직후 해당 서버를 멈추고 시스템을 다시 시작하는 긴급 조치를 취했다. 이어 해킹 유무를 확인하고, 서비스 오류를 확인해 프로그램을 수리하는 패치 작업을 실시했다고 설명했다. 정확한 세부 원인에 대해서는 아직 조사 중이다.
전문가들은 이번 사건이 피해자 규모는 적지만, 공단 시스템이 기본적인 개인정보 관리 조치조차 준수하지 않고 설계돼 운영되고 있다고 지적했다. 염흥열 순천향대 정보보호학과 교수는 “애초에 시스템을 설계할 때 시스템 과부하가 오더라도 다른 기관의 데이터가 조회되지 않게 잘 설계하고, 운영 시에는 과부하가 발생하지 않게 충분히 서버를 잘 구축했어야 한다”고 말했다.
임종인 고려대 정보보호대학원 석좌교수는 “서버 과부하가 원인이라는 것은 말이 안 되고, 애당초 설계가 잘못된 것이라 시스템을 다시 시작하는 것만으로는 취약점을 잡을 수 없다”며 “기본적으로 공공기관의 보안정책은 시간이 흐를수록 취약점에 노출되니 업그레이드를 잘 했어야 하는데, 그게 되지 않으며 이런 문제가 생긴 것으로 보인다”고 지적했다.
취재 과정에서 공단이 사고 사실을 숨기려 한 정황도 포착됐다. 김선민 의원실에서는 이 사고를 인지하고 공단에 ‘최근 3년간 개인정보 노출 사례 자료’를 요청했다. 공단 측에서는 처음에는 이번 사고 기록을 누락한 2023~2024년 사고 3건 기록만을 제출했다. 의원실 측에서 이를 지적하자 담당자는 “징계 완료일 기준으로 최근 3년치 기록을 조회해서 드린 것”이라고 해명했다. 이번 건은 징계가 끝나지 않았기 때문에 사고 건으로 치지 않았다는 것인데, 납득하기 어렵다.
이번 사고는 공단에서 최근 3년간 발생한 개인정보 유출 사고 중 최대 규모이자 시스템 설계 미흡으로 인한 유일한 사고다. 2023~2024년 발생한 개인정보 유출 사고 3건의 규모는 3~16명으로, 2건은 SMS나 우편물을 당사자가 아닌 사람에게 잘못 발송한 사례였다. 1건은 일부 직원이 타 가입자의 재산 상황 등 가족 정보를 무단으로 누설한 사례였다.
한편 공단은 이번 사고의 후속 조치로 피해자 182명에게 개인 정보 노출 사실을 개별 고지하고 사과의 뜻을 전했다고 알렸다. 6개 부서로 구성된 대응팀을 꾸려 이번 주부터 내부 감사를 진행하고 있다. 공단은 “개인정보 노출로 큰 걱정을 끼쳐드려 깊이 사과드린다”며 “유사한 사례가 발생하지 않도록 전산시스템 전반에 대한 개인정보 보호 관리 실태를 엄격히 점검하고, 재발방지 대책을 마련하겠다”고 밝혔다.
김선민 의원은 “유례없는 개인정보 유출사고가 발생했음에도 일주일이 지난 시점에서야 감사에 들어간 공단의 안일한 태도는 문제다”라며 “면밀한 감사를 통해 재발방지대책을 시급히 마련해야 할 것”이라고 말했다.
![[단독] 방사선 노출로 인한 승무원 백혈병, 법원서 첫 ‘산재’ 인정](https://img.khan.co.kr/news/r/600xX/2025/09/08/news-p.v1.20250907.75a67ef0873c4a56a5a9c0567e98ac82_P1.webp)
