韩国审计院27日公布《个人信息保护及管理现状》审计结果称，掌握大量公民个人信息的公共部门信息系统存在明显安全短板。

审计结果显示，2021年至2024年公共部门发生的个人信息泄露事件中，95.5%由外部黑客攻击引发，内部人员故意泄露仅占0.1%。审计院指出，个人信息保护委员会虽于2022年出台公共部门个人信息泄露防范对策，但在应对外部黑客攻击方面仍显不足。

为核查系统安全状况，审计院组织11名白帽黑客参与测试，从个人信息保护委员会主管的123个公共系统中选取7个个人信息存量较大的系统实施模拟渗透。结果显示，这7个系统全部存在个人信息被窃取的风险。

其中，一个系统因接入所需关键信息未加密，一旦黑客获取管理员权限，最多可窃取13万人的居民身份证号码。另一个系统则可通过篡改用户查询信息的方式，查看3000人的居民身份证号码。

此外，还有系统因缺乏异常查询拦截和重复尝试限制，存在大规模信息被批量查询的隐患。审计结果称，个别系统最多可被查询至5000万人的身份证号码，另有系统的1000万名会员信息可在20分钟内被窃取。

审计院表示，考虑到个人信息窃取手法扩散的风险，未公开具体审计细节；但已在审计期间将相关问题通报7个涉事系统运营机构，目前整改工作已完成。

除技术漏洞外，审计院还确认，多个人事信息联动系统在权限管理方面存在缺陷，包括京畿道教育厅教育行政信息系统、四大社会保险信息联动系统、社会保障信息系统、地区保健医疗信息系统等，均存在离职人员等账号访问权限未及时回收的问题。

审计院同时要求有关部门完善个人信息泄露应对处置机制。审计结果显示，2021年至2025年发生的320起大规模个人信息泄露事件中，有306起（96%）存在相关信息平均81天、最长838天暴露在互联网上的情况。由于相关机构未及时申报，主管部门难以及时确认是否已发生泄露。

审计院指出，个人信息保护委员会在建立“要求相关机构核查泄露情况并提交调查结果”的程序方面推进不力，已要求其提出改进方案。

此外，审计院还要求制定包括手机号加密在内的改进措施，以降低个人信息泄露后被用于垃圾短信、电信诈骗等犯罪的风险，并提升“泄露信息查询”服务质量，便于公众自行核验是否有个人信息通过暗网等渠道被非法流通。

（来源：韩联社）