경기도가 2월1일부터 온라인을 통해 재난기본소득(재난지원금) 신청을 받는 가운데 간단한 코드 입력으로 대기 순서를 뛰어넘을 수 있는 것으로 확인돼 시스템의 문제가 있는 게 아니냐는 지적이 제기된다.
경기도는 온라인 홈페이지(//basicincome.gg.go.kr)를 통해 도민들에게 재난지원금 신청을 받고 있다. 출생연도 끝자리 별로 정해진 요일에 신청이 가능하다.
첫 신청이 시작된 2월1일 동시에 수십만 명의 접속자가 몰렸다. 시스템상 홈페이지에 접속하면 예상 대기 시간과 대기 순번이 표시돼 순차적으로 접속된다. 이날 오전 10시30분 기준 예상 대기 시간이 18시간, 대기 순번은 44만으로 표시됐다.
그런데 이 대기 순서를 간단한 코드만 입력하면 뛰어넘을 수 있는 것으로 확인됐다. 기자가 오후 4시30분경 직접 접속하니 예상 대기 시간은 25분55초, 대기 순번은 7만3095로 표시됐다. 제보자로부터 받은 짤막한 코드를 붙여넣기 해 입력해보니 즉시 신청이 가능한 상태로 변경됐다. 시간은 10초도 채 걸리지 않았다. 코드만 입력하니 일반인도 쉽게 시스템을 뛰어넘을 수 있는 것이다.
확인된 부분은 신청 전 대기 순서에 불과하지만, 다른 부분에서도 취약점이 있을 수 있다는 우려가 나온다. 도민들의 개인 정보를 확인하는 시스템이 취약하게 설계된 것 아니냐는 지적이 제기된다. 또 일반인들은 장시간 대기한 끝에 신청하게 되지만 이러한 취약점을 아는 사람들은 쉽게 대기 순번을 넘어 쉽게 신청을 할 수 있어 형평성 문제도 발생한다.
시사저널이 2월1일 질의한 이후 경기도는 해당 문제점에 대해선 조치를 취했다. 2월2일 현재 같은 방법으로 대기 순서를 뛰어넘는 오류는 보완됐다.
경기도는 취약점들을 즉각 보완하고, 보안 문제 등에 더 신경쓴다는 입장이다. 경기도 관계자는 통화에서 “그런 현상들이 일부 접수되고 있다. 여러 전문가들이 붙어 계속 보완하고 있다”며 “보안엔 문제가 없으니 걱정하지 않아도 된다. 재난지원금 1차 지급 때도 보안 문제는 발생하지 않았고, 접수는 경기도, 주민등록정보 전산은 행정안전부, 개인인증은 인증기관, 카드 정보는 카드사, 이렇게 4개 기관이 각각 분리해 정보를 관리하며 2중, 3중 보안 작업을 하고 있다”고 밝혔다.
그러나 우려는 여전하다. 익명을 요구한 한 현직 개발자는 “도민들의 개인 정보를 확인하는 시스템이 이렇게 쉽게 뚫렸다는 것에 우려가 크다. 다른 부분에 있어서도 뚫리거나 할 수 있는 가능성이 충분히 있다”며 “다른 문제점들이 발생하지 않도록 시스템을 철저히 재점검해야 한다”고 지적했다.