2025.9.23 산업부 공모전 해킹 42일 동안 몰랐다! 공공기관 보안 구멍 심각성 분석

1. 사건 개요

• 발생 시점: 2024년 4월 15일경 (피해자 A씨 기획서 제출 다음 날).
• 사건 내용: 산업통상자원부 주최 공공데이터 활용 아이디어 공모전 홈페이지 서버가 해킹당하여 참가자 개인정보가 유출된 사고.
• 인지 시점:
  • 해킹 인지: 발생일로부터 42일 후인 5월 27일, 산업부 자체가 아닌 국가사이버보안센터(NCSC)의 통보를 통해 인지.
  • 개인정보 유출 피해 인지: 5월 29일.
• 초기 조치: 5월 27일 해킹 인지 후 공모전 홈페이지 접속 긴급 차단 및 한국인터넷진흥원(KISA) 신고.

 

2. 피해 규모

• 유출 정보 항목 (확인된 1건 기준): 성명, 소속, 휴대전화 번호, e메일 주소, 기획서 파일명 등.
• 정량적 규모 (현재까지 확인된 건수): 1건 (피해자 A씨).
• 잠재적 규모: 해당 홈페이지 이용자는 11만 6,330명, 공모전 참가자는 282명이며, 개인정보보호위원회의 최종 조사 결과에 따라 유출 규모가 늘어날 수 있음.
• 사후 통지: 5월 30일, 산업부가 피해자 A씨에게 e메일로 유출 사실 통보 및 개인정보보호위원회 신고.

 

3. 사고 원인

• 직접 원인: 권한 없는 외부 해킹을 통한 공모전 홈페이지 서버 침입 및 개인정보 취득.
• 관리적 허점:
  • 해킹 발생(4월 15일) 후 인지(5월 27일)까지 42일간 자체적으로 해킹 사실을 파악하지 못함.
  • 외부 기관(NCSC)의 연락이 없었다면 장기간 피해 사실을 몰랐을 가능성.
  • 정부 및 공공기관이 운영하는 홈페이지 전반의 보안 관리 및 탐지 체계에 심각한 문제 제기.
• 운영 주체: 산업통상자원부 주최, 한국전력공사 주관.