세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[단독] 우리은행 ID카드 신청서 출력, 개인정보 대거 노출 드러나
  |  입력 : 2017-09-01 18:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
우리은행 ID카드 신청서 출력 시 PC에 PDF 파일 그대로 남아
학번, 생년월일, 이름, 전화번호, 주소, 인터넷뱅킹ID까지 노출
우리은행, 허술한 대응으로 문제 키워...본지가 알린 후 부랴부랴 조치


[보안뉴스 오다인 기자] 우리은행 ID카드 신청서를 외부에서 출력한 적이 있다면 개인정보 유출 위험이 큰 것으로 나타났다. 출력 시 신청서 파일이 PC에 저장되고, 출력 이후에도 삭제되지 않은 데다 타인이 별도의 권한 없이 열어볼 수 있었기 때문이다.

▲우리은행 ID카드 신청서 출력 화면 [이미지=우리은행 홈페이지 캡처]


우리은행 ID카드는 대학생이 교내 신분증을 겸해 은행 업무를 볼 수 있도록 제작된 통합형 카드다. 강의실이나 도서관 출입증으로 사용하면서 교통카드, 체크카드, 현금카드 등으로도 쓸 수 있기 때문에 연세대, 홍익대, 국민대, 세종대 등 다수의 대학교에서 우리은행 ID카드를 채택하고 있다.

우리은행 ID카드를 신청하려면 우리은행 홈페이지에서 ID카드 신청서를 작성한 뒤, 영업점에 출력본을 제출해야 한다. 문제는 ID카드 신청서 출력 시 신청서 파일이 작성자가 알지도 못한 상태에서 PDF 파일로 하드드라이브에 저장된 데다 출력 이후에도 해당 PDF 파일이 삭제되지 않았다는 점이다. 즉, 상세한 개인정보가 명시된 신청서 파일이 작성자도 모르게 PC에 저장된 채 그대로 남아있다는 거다.

개인 PC나 가정용 PC에서 출력했다면 당장 큰 문제가 되진 않을 것으로 보이나 은행 영업점의 고객용 PC, PC방이나 학교의 공용 PC 등을 사용해 출력했다면 민감한 개인정보가 각 PC에 고스란히 노출돼 있는 셈이다.

이와 관련해 한호현 교수(경희대학교 컴퓨터공학과)는 “우리은행의 고객용 PC를 사용하던 중 이 같은 사실을 발견했다”며 “다른 사람의 개인정보를 평문 그대로(암호 없이) 열어볼 수 있었다”고 페이스북을 통해 알렸다. 한 교수는 “전국 PC에 얼마나 많은 개인정보가 노출돼 있을지 알 수 없다”며 “이틀 전(30일) 우리은행 측에 알렸으나 조치가 안일했다”고도 밝혔다.

우리은행은 해당 문제를 전달 받은 후 영업점에 “학생증(ID)카드 신청 및 신청서 출력 후 개인정보 노출 우려가 있으므로 해당 PDF 파일을 삭제하여 주십시오”라는 안내문을 붙여놓은 것으로 알려졌다. 이는 사실상 개인정보가 포함된 PDF 파일이 PC에 남아 있다고 알린 것으로, 보안상 위험을 더 키웠다고 볼 수 있다.

ID카드 신청서에 명시되는 정보는 학번(직번, 교번), 주민등록번호 앞자리(생년월일), 성명, 영문성명, 학교/기관명, 대학명/부서명, 학과/직위명, 이메일, 휴대폰번호, MCAA본인확인서, 휴대폰 계좌번호 서비스, 통장신청, 집전화번호, 직장전화번호, 집주소, 직장주소, 인터넷뱅킹, 스마트뱅킹ID 등이다.

우리은행 측은 “오늘(1일) 오후 2시에서 3시경 관련 조치를 모두 마쳤다”며 “향후 전수조사를 통해 각 PC에 저장된 신청서 파일을 모두 삭제토록 안내할 것”이라고 밝혔다. 그러면서도 “관련 피해사례는 한 건도 접수된 바 없다”고 말했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)