은폐미수고객추적시스템

누구나 열람·전송 가능

유출자 확인도 불가능

한국전력공사가 고객정보 유출 사고 후에도 시스템을 강화하지 않아 충청지역 고객 개인정보 5만9000여건이 유출위험에 놓인 것으로 나타났다.

감사원은 6일 공개한 공공기관 정보보호 및 사이버안전관리 실태 감사 결과 자료를 통해 한국전력공사의 은폐미수고객추적시스템(이하 고객추적시스템)에 등록된 8만9440건의 개인정보 유출 위험이 있다고 밝혔다.

이 가운데 충북지역본부 2만5598건, 대전·충남지역본부 3만3906건 등 충청지역에서만 5만9504건으로 고객명, 주민등록번호, 주소, 전화번호, 핸프폰번호, 계약전력, 해지일 등의 개인정보들이다.

감사원은 지난해 6월 1일부터 29일까지 한국전력공사의 개인정보관리 실태를 점검한 결과 고객추적시스템에 8만9440건의 개인정보를 저장·관리하면서 고객추적시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 차등부여하지 않고 내부 전산망인 전산포털시스템의 아이디를 소유자(공사 직원, 협력사 직원 2만4000여명)는 누구나 추적시스템에 접속할 수 있도록 운영하고 있었다. 또 개인정보파일 명칭, 운영근거 및 목적 등을 행정안전부장관에게 등록하지 않았다.

그 결과 추적시스템에 등록된 개인정보 열람이 가능했고 이를 엑셀로 다운받아 승인없이 사내메일로 외부 전송이 가능해 개인정보 유출 위험이 있었다.

이밖에 충북지역본부, 대전·충남지역본부, 강원지역본부에서 시스템에 접속한 로그기록을 확인한 결과 강원지역본부는 147개의 IP에서 675회, 대전·충남지역본부는 208개의 IP에서 1742회 조회화면에 접속한 것이 확인됐다. 이 가운데 10회 이상 접속한 IP의 사용자를 확인한 결과 현재 사용하지 않는 IP에서 접속한 흔적이 발견됐다.

충북지역본부는 접속기록을 보관하지 않고 있어 권한이 없는 사람이 접속했는지 여부를 확인할 수 없어 시스템을 통해 고객 개인정보 유출 위험이 있었다. 개인정보가 유출되더라도 역추적해 유출자 확인이 불가능한 것으로 조사됐다.

감사원은 한국전력공사에 은폐미수고객추적시스템에 대한 접근 권한을 업무담당자에게 차등 부여하고 접속기록의 보존, 개인정보파일을 행정안정부장관에게 등록하는 등 개인정보 보호 및 관리 강화방안을 마련할 것을 통보했다.