세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[단독] 우리은행 ID카드 신청서 출력, 개인정보 대거 노출 드러나
  |  입력 : 2017-09-01 18:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
우리은행 ID카드 신청서 출력 시 PC에 PDF 파일 그대로 남아
학번, 생년월일, 이름, 전화번호, 주소, 인터넷뱅킹ID까지 노출
우리은행, 허술한 대응으로 문제 키워...본지가 알린 후 부랴부랴 조치


[보안뉴스 오다인 기자] 우리은행 ID카드 신청서를 외부에서 출력한 적이 있다면 개인정보 유출 위험이 큰 것으로 나타났다. 출력 시 신청서 파일이 PC에 저장되고, 출력 이후에도 삭제되지 않은 데다 타인이 별도의 권한 없이 열어볼 수 있었기 때문이다.

▲우리은행 ID카드 신청서 출력 화면 [이미지=우리은행 홈페이지 캡처]


우리은행 ID카드는 대학생이 교내 신분증을 겸해 은행 업무를 볼 수 있도록 제작된 통합형 카드다. 강의실이나 도서관 출입증으로 사용하면서 교통카드, 체크카드, 현금카드 등으로도 쓸 수 있기 때문에 연세대, 홍익대, 국민대, 세종대 등 다수의 대학교에서 우리은행 ID카드를 채택하고 있다.

우리은행 ID카드를 신청하려면 우리은행 홈페이지에서 ID카드 신청서를 작성한 뒤, 영업점에 출력본을 제출해야 한다. 문제는 ID카드 신청서 출력 시 신청서 파일이 작성자가 알지도 못한 상태에서 PDF 파일로 하드드라이브에 저장된 데다 출력 이후에도 해당 PDF 파일이 삭제되지 않았다는 점이다. 즉, 상세한 개인정보가 명시된 신청서 파일이 작성자도 모르게 PC에 저장된 채 그대로 남아있다는 거다.

개인 PC나 가정용 PC에서 출력했다면 당장 큰 문제가 되진 않을 것으로 보이나 은행 영업점의 고객용 PC, PC방이나 학교의 공용 PC 등을 사용해 출력했다면 민감한 개인정보가 각 PC에 고스란히 노출돼 있는 셈이다.

이와 관련해 한호현 교수(경희대학교 컴퓨터공학과)는 “우리은행의 고객용 PC를 사용하던 중 이 같은 사실을 발견했다”며 “다른 사람의 개인정보를 평문 그대로(암호 없이) 열어볼 수 있었다”고 페이스북을 통해 알렸다. 한 교수는 “전국 PC에 얼마나 많은 개인정보가 노출돼 있을지 알 수 없다”며 “이틀 전(30일) 우리은행 측에 알렸으나 조치가 안일했다”고도 밝혔다.

우리은행은 해당 문제를 전달 받은 후 영업점에 “학생증(ID)카드 신청 및 신청서 출력 후 개인정보 노출 우려가 있으므로 해당 PDF 파일을 삭제하여 주십시오”라는 안내문을 붙여놓은 것으로 알려졌다. 이는 사실상 개인정보가 포함된 PDF 파일이 PC에 남아 있다고 알린 것으로, 보안상 위험을 더 키웠다고 볼 수 있다.

ID카드 신청서에 명시되는 정보는 학번(직번, 교번), 주민등록번호 앞자리(생년월일), 성명, 영문성명, 학교/기관명, 대학명/부서명, 학과/직위명, 이메일, 휴대폰번호, MCAA본인확인서, 휴대폰 계좌번호 서비스, 통장신청, 집전화번호, 직장전화번호, 집주소, 직장주소, 인터넷뱅킹, 스마트뱅킹ID 등이다.

우리은행 측은 “오늘(1일) 오후 2시에서 3시경 관련 조치를 모두 마쳤다”며 “향후 전수조사를 통해 각 PC에 저장된 신청서 파일을 모두 삭제토록 안내할 것”이라고 밝혔다. 그러면서도 “관련 피해사례는 한 건도 접수된 바 없다”고 말했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)