동물병원장 핸드폰 번호 2,813개가 정부 제공 공공데이터로 유출됐다

반려동물 등록대행업체로 지정된 동물병원 원장의 핸드폰번호 2,813개가 유출됐다.

심지어 해킹이나 내부자의 불법 유출도 아니었다. 정부가 운영하는 공공데이터 포털에서 농림축산검역본부가 제공하는 공공데이터를 통해 버젓이 노출됐다.

뒤늦게 사태를 파악한 검역본부는 오늘(8/18) 비식별화 조치를 취했지만, 2014년부터 7년간 사실상 전체 공개 상태였던 셈이다.

유출된 핸드폰 번호 3,045개 중 2,813개(92%)가 동물병원 원장 번호

전날인 17일 대한수의사회 홈페이지와 임상수의사 커뮤니티 대한민국수의사[DVM]에는 동물병원장 개인정보 유출 문제를 지적하는 글이 게시됐다. 한 웹페이지에 원장 수천명의 핸드폰 번호와 이메일이 노출되어 있다는 것이다.

원장 개인정보가 유출된 곳은 개발 과정인 것으로 추정되는 D 사이트다.

해당 웹페이지에는 업체명과 주소, 업체전화번호, 대표자명, 핸드폰번호, 이메일이 게재된 상태였다. 모두 4,201개소로 이중 동물병원이 3,917개소로 대부분을 차지했다.

이중 핵심적인 개인정보로 분류되는 핸드폰 번호가 유출된 동물병원은 2,813개소로 파악됐다.

유출된 정보의 출처로는 동물보호관리시스템(APMS)이 지목됐다.

동물등록을 대행하는 동물병원은 APMS 사이트에서 반려견 등록정보 입력 등의 업무를 수행하는데, APMS에 공개된 대행업체 정보와 유출 정보의 표기가 대체로 일치했기 때문이다.

동물등록제 업무를 위해 APMS에 가입한 동물병원 회원의 회원정보 중 핸드폰번호는 필수입력이 아닌 ‘선택입력’으로 분류되어 있다는 점도 심증을 더했다.

D 사이트에 노출된 동물병원은 3,917개소인데, 핸드폰 번호가 유출되지 않은 원장도 1천명 이상이었기 때문이다.

동물병원명이나 병원주소, 병원 대표연락처 등은 동물등록서비스를 받고 싶은 반려견 보호자에게 필요한 공공데이터라고 볼 수 있다. 하지만 원장 개인의 핸드폰 번호는 아니다.

APMS 회원정보에서 폰번호 지우자 유출 사이트에서도 사라져

공공데이터 포털에서 직접 유출 재현 성공

D 사이트에서 핸드폰 번호와 이메일이 노출된 동물병원 한 곳을 섭외했다. 동물등록 대행업체로 APMS 회원으로 가입된 동물병원이다.

해당 원장에게 요청해 APMS 회원 정보에서 핸드폰 번호만 삭제하도록 했다. 이후 D 사이트를 다시 확인하니 핸드폰 번호만 공란으로 곧장 변경됐다. 이메일은 그대로 남았다.

유출 사이트와 APMS의 동물병원 회원정보가 실시간으로 연동된다는 확증을 얻은 셈이다.

취재 과정에서 접촉한 데이터 분석 전문가도 공공데이터를 유출경로로 지목했다. 등록대행업체 정보를 API연동 형태로 제공하는 공공데이터가 있다는 것이다.

해당 전문가의 조언을 받아 직접 공공데이터 포털의 ‘농림축산식품부 농림축산검역본부_반려동물 등록대행업체 조회 서비스’ 이용을 시도했다.

해당 API는 공공데이터 포털에 신청하여 승인을 획득한 후 활용할 수 있다. 승인절차를 거치도록 되어 있지만 사실상 자동문이다.

17일 곧장 포털에 가입하여 API 사용을 신청하자 곧장 승인 통보를 받았다. 해당 코드가 시스템에 반영된 후에는 본지도 유출된 개인정보를 직접 확인할 수 있었다. 채 1시간도 걸리지 않았다.

승인 신청 과정에서 사용주체나 사용목적을 묻는 입력란이 있었지만 통상적인 내용을 간단히 적으면 문제없었다. ‘공공데이터’라는 이름에 걸맞게 사실상 누구에게나 공개되는 셈이다.

APMS 개인정보처리방침도 위반

APMS 개인정보처리방침은 개인정보보호법 제17조와 제18조에 해당하는 경우에만 개인정보를 제공하도록 규정하고 있다.

정보주체(동물등록 대행업체)로부터 동의를 받거나, 타 법률상 규정이나 공공기관의 법령상 업무 수행에 불가피한 경우, 서비스 제공에 따른 요금정산을 위해 필요한 경우 등에만 제한적으로 제공하는 형태다. 이번 건에 적용된다고 보기는 어렵다.

더구나 APMS 개인정보처리방침은 개인정보를 민원사무나 검역본부 소관업무(동물등록제 등) 수행을 위해서만 사용한다는 점을 명시했다. 이용목적이 변경되는 경우에는 별도의 동의를 받도록 했다.

하지만 취재과정에서 접촉한 피해자들은 공공데이터에 개인정보 제공을 동의한 적이 없는 것으로 파악됐다.

APMS를 운영하는 정부기관이 스스로 정한 개인정보처리방침을 스스로 어긴 셈이다. APMS의 개인정보 관리기관도, 등록대행업체 조회 서비스 제공기관도 검역본부 동물보호과다.

행정안전부가 고시한 ‘공공데이터 관리지침’는 개인정보를 제공대상이 아닌 것으로 명확히 규정하고 있다. 이에 따르면 각 기관은 공공데이터를 생성할 때 개인정보 등 비공개 대상정보의 포함여부를 확인해야 한다.

‘공공데이터의 제공 및 이용 활성화에 관한 법률’에도 개인정보가 포함된 정보는 개인정보를 기술적으로 분리하여 제외하고 공공데이터를 제공토록 규정하고 있다. 반려동물 등록대행업체 정보를 공공데이터로 제공하려면 핸드폰 번호 등 개인정보를 분리했어야 한다는 것이다.

실제로 농림축산식품부가 별도로 운영하는 ‘농림축산식품 공공데이터 포털’에서도 2014년 10월부터 등록대행업체 조회 API를 제공하고 있는데, 여기에는 핸드폰 번호 같은 개인정보는 포함되지 않았다.

반면 비슷한 시기인 2014년 8월 공공데이터 포털(DATA.GO.KR)에 등록된 등록대행업체 조회 서비스에는 핸드폰 번호가 포함됐다.

검역본부, 뒤늦게 유출경로 막아..대한수의사회 ‘재발방지 촉구’

이처럼 등록대행업체인 동물병원 원장의 핸드폰 번호는 사실상 7년간 전체 공개상태였다.

본지 취재 과정에서 이를 뒤늦게 확인한 검역본부 측은 곧장 조치에 나섰다.

공공데이터 포털의 반려동물 등록대행업체 조회 서비스에서 핸드폰 번호와 이메일 주소를 익명화(******형태)하여 내보내도록 수정하여 추가 유출을 막았다.

하지만 2014년에 공공데이터가 등록된 이후 7년여간 얼마나 유출됐는지는 추적하기 어려울 것으로 보인다.

공공데이터 포털 상에서는 3개 업체가 해당 조회 서비스를 활용한 것으로 나와있다. 다만 이들 모두 현재는 운영을 중단했거나 등록대행업체 조회 서비스를 제공하지는 않고 있는 것으로 파악됐다.

공공데이터 포털에서 반려동물 등록대행업체 조회 서비스 활용을 신청한 건수는 검역본부의 비식별조치 이전인 어제(8/17)까지 212건이다.

대한수의사회는 “이번 문제에 대해 추가로 항의 및 재발방지 등을 촉구할 것”이라고 전했다.