2020.4.26.(일), KBS“18만 명 신청한‘청년구직지원금’... 사이트 개인정보 관리 허술”기사 관련 설명

주요 기사내용
청년구직활동지원금 신청서를 받는 웹사이트의 보안이 허술
개발자 도구로 들어가 숫자 몇 개만 바꾸면 신청인의 개인 정보가 모두 보인다
다른 신청인 이름과 주민번호 앞자리, 전화번호 등 내밀한 정보도 확인할 수 있다

설명내용
(최초 인지) ‘20.4.24(금), 10:13 KBS 사회부 기자로부터 온라인청년센터 구직활동지원금 신청 페이지 개인정보 노출 제보 관련 사실 확인 요청
(원인 분석) ‘20.4.24(금), 12:33 제보 관련 내용 확인 및 원인 분석 완료
구직활동지원금 신청 페이지에서 웹 브라우저의‘개발자도구’기능을 사용하여 소스코드 중 구직활동지원서 신청서번호*를 변경할 경우 타인의 신청자료 열람 가능 확인
* 구직활동지원금 신청서 번호는 전산으로 자동부여 되므로 신청자 본인 및 일반인도 확인할 수 없음
(긴급 대응조치) ‘20.4.24(금), 13:32 원인 분석 후 개인정보 무단 열람 기능 방지 조치 완료
구직활동지원금 신청 페이지에서 소스코드 상의 신청서 번호를 임의로 변경이 불가능 하도록 조치하여 현재는 타인의 개인정보 열람 불가능
(긴급 대응팀 구성) ‘20.4.24(금), 13:55~14:28 사고 원인 분석 및 피해 규모 파악, 긴급 조치사항 실행 등을 위한‘침해사고대응팀’구성 완료
한고원 개인정보 침해사고 대응절차에 따라‘침해사고대응팀*’구성
* 총괄 대응반, 실태 조사반, 기술 지원반, 민원 대응반, 법무반으로 구성
(침해 사실 분석) ‘20.4.24(금), 17:20 ~ 4.26(일) 피해분석 결과 20건(가족 포함 63명)의 개인정보를 열람한 것으로 나타남
파라미터 변조 방식을 통해 신청자 및 보호자 주민번호 앞자리 7개, 졸업증명서, 가족관계증명서를 열람한 것으로 확인하였음
(후속 조치) ‘20.4.26(일) ~ 4. 27(월) 개인정보 노출 통지, 재발방지 조치, 시스템 보안점검 및 보안성 강화 조치 실시
침해 피해자에게 개인정보 노출 사실 즉시 통보
운영 시스템 전반에 대한 보안점검 및 개인정보보호 강화
개인정보 침해사고 대응절차 직원교육(위탁업체 포함) 실시

문  의:  고용노동부  공정채용기반과  전윤아 (044-202-7493), 이호준 (044-202-7344)
          한국고용정보원  청년정책허브센터 고재성 (043-870-8760), 박규수 (043-870-8867)