◇ 중소 IT 기업 프로그램만 있으면 ‘나도 해커’

‘차세대 국세행정시스템’ 국세청 ‘홈택스’의 보안이 허술하기 짝이 없는 것으로 나타났다. 국내 한 중소 IT업체가 개발한 프로그램만 있으면, 사용자의 아이디와 패스워드를 알아내는 건 ‘식은 죽 먹기’나 다름없었다.

홈택스 사용자의 아이디와 패스워드를 알아내는 방법은 간단하다. IT기업 ‘누리랩’이 개발한 ‘NDFinder’만 있으면 된다. ‘NDFinder’는 단순 문서 검색을 위해 만들어진 프로그램이다. 하지만 이 프로그램을 조금만 응용하면 누구나 해커로 변신이 가능하다. 

일단 홈택스 홈페이지를 방문한다. 단 여기엔 조건이 있다. 인터넷 검색창은 익스플로러를 이용해야 하며, 바탕화면에서 오픈 한 첫 화면이어야 한다는 것이다.

이제 홈택스에 로그인을 한다. 여기서 주의해야할 부분은 ‘아이디 로그인’을 통해 들어가야 한다는 사실이다. 나갈 때도 로그아웃을 클릭하지 말고 웹 전체 창을 닫아야 한다. 

홈택스 방문을 마쳤다면 이제 NDFinder를 사용할 때다.  실제 기자가 NDFinder의 대상폴더를 알맞게 설정하고, 검색 문자열에 특정 명령어를 입력하자 깜짝 놀랄 만한 광경을 목격할 수 있었다. 방금 방문했던 홈택스 사이트의 아이디는 물론, 패스워드까지 낱낱이 검색됐다. 해당 정보가 사용된 사이트가 어느 곳인지도 노출됐다.

NDFinder를 통해 모든 사이트의 정보 유출이 가능한 건 아니다. 현재까지 일부 인터넷 쇼핑몰과 몇몇 정부기관 사이트만이 보안에 취약한 것으로 확인된 상태다. 이 가운데 국민의 세금 업무가 이뤄지는 국세행정시스템 홈택스가 속한다는 점에서 적잖은 충격을 주고 있다.

이 프로그램을 개발한 누리랩 최원혁 대표는 <시사위크>와의 통화에서 “만약 불특정 다수가 사용하는 PC방에서 NDFinder를 설치해 놓는다면, 홈택스처럼 보안에 취약한 사이트를 방문했던 사용자의 아이디와 패스워드를 알아내는 건 매우 간단한 일”이라고 말했다.

국내 최고기업과 정부의 합작품인 홈택스가 국민들을 정보 유출의 피해자로 몰아넣고 있다는 지적이다.

◇ 국세청 “홈택스 문제점 인식, 보완 작업 실시할 것”

홈택스의 허술함이 도마에 오른 건 이번이 처음이 아니다. 지난해 2월 우여곡절 끝에 개통에 성공한 홈택스는 잦은 구설에 휘말려왔다. 사용자들의 편의를 무시한 시스템과, 잦은 접속 차질로 비판 받아왔다.

국세청 관계자는 “현재 홈택스의 취약한 부분을 인지한 상태”라며 “올해까지 홈택스 유지보수를 실시하고 있는 삼성SDS와 함께 사용자의 개인 정보가 유출되지 않도록 보완 작업을 실시할 예정”이라고 말했다.

홈택스 개발업체인 삼성SDS는 “20일 당장 지적된 부분을 보완해 사용자들의 정보 유출이 없도록 조치할 것을 약속드린다"고 전했다.