[Threat Analysis] 국가유산청 개인정보 유출 사고 분석과 실무적 시사점

최근 공공기관 및 정부 산하 기관의 대민 서비스 누리집(홈페이지)을 통한 개인정보 유출 이벤트가 지속적으로 보고되고 있습니다. 이번 국가유산청의 보안 이벤트는 외부 해커의 고도화된 APT(지능형 지속 위협) 공격이나 크리덴셜 스터핑(Credential Stuffing)이 아닌, 내부 행정 데이터 공개 과정에서 발생한 휴먼 에러(Human Error)성 관리적 취약점이 주 원인으로 분석됩니다.

타사 및 공공기관의 침해·노출 사례 사후 분석(Post-Mortem)을 수행하는 목적은 기술적 공격 방어뿐만 아니라, 업무 프로세스 내재화 단계에서의 데이터 필터링 공백을 식별하고 이를 차단할 수 있는 컴플라이언스 통제 체계를 구축하는 데 있습니다.

본 리포트에서는 이번 사고의 팩트를 기반으로 실무자가 검토해야 할 방어 아키텍처를 제시합니다.

1. Incident Summary (사고 개요 및 규제 현황)

• 사고경위:

  구분	내용
  최초 노출 시점	2025년 7월 (게시글 업로드 시점)
  인지 시점 및 경위	2026년 6월 4일, 정보주체(문화유산 매매업 관계자)의 민원 제기로 인지
  초동 조치 시점	2026년 6월 4일 당일 해당 첨부파일 접근 차단 및 게시물 삭제
  공식 사과 및 통지	2026년 6월 6일 공식 누리집 사과문 게재 및 정보주체 대상 개별 통지 진행

• 침해 유형 및 자산: 국가유산청 공식 누리집 정보공개 게시판에 첨부된 행정 파일('2024년 문화유산 매매 허가 현황') 내부 데이터 노출. 유출된 데이터 항목은 거주지 주소, 휴대전화 번호, 생년월일의 개인 식별 정보와 매매현황 제출 여부, 장부검인 여부, 겸업 여부 등 비즈니스 운영 정보 6종입니다.
• 피해 Scale: 전국 문화유산 매매업 종사자 총 909명
• 법적 행정처분 예측: 본 사고는 유출 인지 시점(2026년 6월 4일) 기준으로 개인정보보호위원회의 조사가 착수될 예정입니다. 과거 유사 공공기관의 안전성 확보조치 위반 사례를 비추어 볼 때, 개인정보 보호법 제29조 위반에 따른 시정명령 및 과태료 처분이 예상되며, 정당한 사유 없이 통지·신고를 지연했는지 여부에 따라 추가 행정처분이 부과될 수 있습니다.

2. Root Cause Analysis (공격 벡터 및 기술적 결함 분석)

• TTPs (공격 기법) 및 데이터 유출 메커니즘:
  본 사건은 외부 위협 아키텍처에 의한 침입이 아닌 '정당한 권한을 가진 내부자에 의한 오설정 및 검증 공백'이 공격 벡터(Threat Vector)로 작용했습니다. 담당자가 행정 처리용 마스터 엑셀(Excel) 데이터에서 필수 공개 항목 외에 개인 식별 정보가 포함된 로우(Row)/컬럼(Column)을 완전히 삭제(Delete)하지 않고, 단순히 숨기기 처리하거나 필터링만 적용한 상태로 웹 서버에 업로드한 것으로 유추됩니다. 이 경우 공격자 혹은 일반 사용자가 다운로드 후 내부 메타데이터를 파싱하거나 숨김 열을 해제하는 방식으로 손쉽게 원본 데이터 셋을 확보할 수 있게 됩니다.
• Technical Vulnerabilities (취약점):
• 콘텐츠 정제(Sanitization) 시스템의 부재: 웹 어플리케이션 레이어(Application Layer) 또는 파일 업로드 게이트웨이 단계에서 고유식별정보 및 개인정보 패턴(정규표현식 기반의 주민번호, 전화번호, 생년월일 등)을 실시간으로 탐지하고 마스킹(Masking) 및 업로드 차단을 수행하는 DLP(Data Loss Prevention) 솔루션의 검증 공백이 존재했습니다.
• 모니터링 및 주기적 무결성 검증의 한계: 2025년 7월 게시 이후 약 11개월 동안 다운로드 로그 분석이나 웹 크롤링 기반의 개인정보 노출 진단(SIEM 연동 또는 전용 스캐너 운영)이 상시 작동하지 않아, 정보주체의 민원이 발생하기 전까지 장기간 노출 상태가 지속되는 가시성(Visibility) 공백을 나타냈습니다.

3. Compliance Gap Analysis (법적·인증 기준 매칭)

• 규제 법령 위반 위반 행위 매칭:
• 개인정보 보호법 제29조 (안전성확보조치): 개인정보처리자가 개인정보를 처리함에 있어 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 지정된 기술적·관리적 및 물리적 조치를 다하지 않은 결함에 해당합니다.
• 개인정보 보호법 시행령 제30조: 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행 조항 위반 및 출력·복사 시 개인정보 보호조치 의무를 소홀히 한 것으로 판단됩니다.

• ISMS-P 인증 통제 항목 Gap 분석:
• 통제항목 2.6.2 (보안시스템 적용): "공개 서버의 경우 서비스에 필요한 기능 외에 불필요한 서비스·기능을 제거(Hardening)하고..."에 매칭되는 지적 사항입니다. 대민 공개 게시판에 검증되지 않은 로우 데이터가 첨부되도록 방치한 구조적 결함이 식별됩니다.
• 통제항목 2.10.1 (침해사고 예방 및 대응): 공공 서비스 특성상 주기적인 대민 웹사이트 내 개인정보 노출 점검을 수행해야 하나, 이를 이행하지 않아 11개월간 탐지 공백이 발생한 점은 심사원 관점에서 '침해사고 예방을 위한 모니터링 체계 미흡'으로 결함(Non-conformance) 처리가 불가피합니다.

4. Mitigation Strategies (실무자를 위한 3대 아키텍처 보완 대책)

[1] 차세대 웹 개인정보 차단 및 필터링 솔루션(Web-DLP) 전면 도입

대민 누리집 웹 서버 전면부(Reverse Proxy 또는 웹 어플리케이션 서버 후면)에 실시간 콘텐츠 정제(Sanitization) 엔진을 배치해야 합니다. 파일 업로드 및 다운로드 이벤트 발생 시, 실시간으로 파일 내부(xlsx, pdf, hwp 등)를 파싱하여 정규표현식(^\d{2}(0[1-9]|1[0-2])(0[1-9]|[12]\d|3[01])) 및 AI 기반 문맥 분석을 통해 개인정보 포함 여부를 전수 검사하고, 탐지 시 업로드를 즉시 Block 하거나 난독화하는 아키텍처를 구현해야 합니다.

[2] 개인정보 은닉 무결성 검증 자동화 파이프라인(CI/CD 및 스케줄러) 구축

업무 담당자가 데이터를 수동으로 게시하는 프로세스를 제거하고, 공개 데이터 전용 저장소를 격리 운영해야 합니다. 매일 가동되는 배치(Batch) 형태의 자동화 크롤러 및 개인정보 스캐닝 스크립트를 가동하여, 대민 웹 페이지 상에 노출된 모든 첨부파일을 역으로 다운로드하여 인덱싱하고 유출 징후를 탐지하는 '상시 가시성 확보 룰'을 SIEM에 세팅해야 합니다.

[3] 위험 기반 행정 데이터 관리 절차 수립 및 결재선 다변화 (Two-Man Rule)

관리적 보완 대책으로, 외부 공개용 첨부파일을 업로드할 때는 반드시 '개인정보 유출 여부 자가진단서' 생성을 의무화하고, 부서 내 보안담당자(또는 CISO 지정 대리인)의 교차 검증 및 승인 단계(Two-Man Rule)를 거쳐야만 최종 Public 배포가 가능하도록 그룹웨어 및 CMS(콘텐츠관리시스템) 워크플로우를 고도화해야 합니다.

5. Conclusion & Takeaway

이번 국가유산청의 개인정보 유출 사고는 고도화된 제로데이(Zero-Day) 취약점 공격이 아니더라도, 단 한 번의 관리 프로세스 공백과 휴먼 에러가 결합했을 때 조직의 신뢰도에 얼마나 치명적인 타격을 줄 수 있는지 증명하고 있습니다. 보안 거버넌스의 핵심은 완벽한 방어를 넘어 결함을 최소화하는 통제 체계의 내재화와 속도감 있는 회복 탄력성(Resilience) 확보에 있습니다.

CISO/CPO 자문 관점에서 볼 때, 현재 운영 중인 대민 포털 내 파일 업로드 검증 로직과 주기적 스캐닝 프로세스가 정상 작동하고 있는지 백엔드 아키텍처를 시급히 재점검할 시점입니다.

자료 출처

• 동아일보 - 국가유산청 홈페이지서 매매업자 900여명 개인정보 노출
• 연합뉴스TV - 국가유산청 홈페이지에서 개인정보 유출…"깊이 사과"
• 한국경제 - 국가유산청, 문화유산 매매업자 909명 개인정보 유출