2025.10.24 자동차정보관리시스템 Car365 개인정보유출 정리

1. 개요

• 2025년 10월, 국토교통부 산하 한국교통안전공단이 운영하는 차세대 자동차정보관리시스템(Car365) 웹사이트에서 심각한 보안 취약점이 발견되었습니다. 
• 시사IN의 취재 결과, 특정 URL 파라미터 조작을 통해 차량 번호만 입력하면 해당 차량 소유주의 민감한 개인정보가 대량 유출되는 구조적 보안 결함이 확인되었습니다.
• Car365는 윤석열 정부의 '디지털 플랫폼 정부' 국정과제의 핵심 사업으로, 2023년 11월 오픈 API 방식으로 전면 개방된 공공데이터 서비스였습니다.​

 

2. 피해범위

• 잠재적 피해 규모는 전국민 차량 소유자 전체로 추정됩니다.
• 시스템 설계상 대규모 크롤링을 통해 전 국민의 차량 관련 개인정보를 한 번에 확보하는 것이 가능한 구조였기 때문입니다.
• 한국교통안전공단은 시사IN의 취재 문의 전까지 해당 보안 문제를 인지하지 못하고 있었으며, 2025년 6월 9일 차세대 시스템 개편 이후 발생한 것으로 추정된다고 밝혔습니다.​
•  
• 공단은 10월 23일까지 해당 경로를 통해 유출된 개인정보가 총 4건이라고 답변했으나, 시사IN의 추가 테스트 결과만으로도 5건 이상이 확인되어 실제 유출 규모는 파악이 불가능한 상황입니다.
• 특히 로그인하지 않은 상태에서도 브라우저를 반복적으로 재실행하면 무제한으로 개인정보 유출이 가능한 구조였기 때문에, 이미 얼마나 많은 데이터가 유출되었는지 확인할 수 없었습니다.​

 

3. 유출항목

 - 총 188가지 항목의 개인정보가 유출 가능한 상태였으며, 주요 유출 항목은 다음과 같습니다.

• 이름 및 주민등록번호 (고유식별정보)
• 주소 (번지 제외)
• 자동차보험 정보
• 차량 구입일 및 구입 가격
• 폐차 정보: 압류 이력(압류관리번호 포함), 검사 이력(주행거리 포함), 지방세 체납 이력(등록권리자 주소 포함)

 - 특히 주민등록번호와 같은 개인 식별 정보는 개인정보보호법상 가장 중요한 민감정보로 취급되는 항목이다.​

 

4. 원인

 - 시사IN이 자문한 IT 보안 전문가는 "시스템이 총체적으로 잘못 설계·운영되었다"고 지적했습니다.

 - 구체적인 보안 취약점은 다음과 같습니다:.

  > 인증·인가 절차 부재

• 각종 개인정보가 포함된 대규모 데이터에 아무런 인증·인가 절차 없이 접근이 가능했습니다. 
• API 키 없이도 정보가 제공되어 악의적 접근자를 모니터링하는 것이 불가능했습니다.​

 

  > 로그인 없는 접근 가능

• 홈페이지 설계 오류로 인해 로그인하지 않고도 개인정보 추출이 가능했습니다.
• 특정 브라우저를 새로 열면 1회까지 개인정보 유출이 가능했으며, 브라우저를 종료하고 재실행하는 방식으로 무제한 유출이 가능한 구조였습니다.​

 

  > 서버단 보안 부재

• 웹서비스는 사용자단(프런트엔드)과 서버단(백엔드)으로 구분되는데, 사용자단 설계에 문제가 있어도 서버단에서 민감 정보를 필터링해야 하지만 Car365는 이러한 조치가 없었습니다.
• 주민등록번호, 주소 등 민감 개인정보가 별도 암호화 과정 없이 호출 가능했습니다.​

 

  > URL 파라미터 조작 취약점

• 시사IN이 확인한 Car365의 보안 허점은 총 6가지 경로였으며, 이 중 5개는 차량번호를 통한 정보 추출, 1개는 폐차 정보 추출 방식이었습니다.
• 특별한 IT 기술 없이도 인터넷 브라우저 주소창에 특정 URL과 차량번호만 입력하면 개인정보 악용이 가능했습니다.​

 

5. 대응

 - 한국교통안전공단 및 국토교통부 대응

• 한국교통안전공단은 2025년 10월 22일 시사IN의 취재 문의를 받은 후, 당일 밤 해당 접근 경로를 차단했습니다.

 - 10월 23일 답변서를 통해 다음과 같이 밝혔습니다.

• 시사IN의 취재 문의 전까지 해당 문제를 인지하지 못하고 있었음
• 2025년 6월 9일 차세대 자동차관리정보시스템 개편 이후 이러한 문제가 발생한 것으로 추정
• 해당 경로를 통해 유출된 개인정보는 총 4건으로 파악 (단, 시사IN의 추가 테스트 결과 이보다 많은 것으로 확인됨)

 - 국토교통부는 별도의 공식 대응 발표는 확인되지 않았으며, 한국교통안전공단을 통한 긴급 조치만 이루어진 것으로 보입니다.​

 

6. 문제점

 - 사후 대응의 한계

• 보안 취약점이 2025년 6월 9일부터 약 4개월간 방치되었으며, 언론사의 취재가 아니었다면 계속 노출되었을 가능성이 높습니다.
• 공단은 취재 당일에야 접근 경로를 차단했으나, 이미 유출된 데이터 규모는 확인 불가능합니다.​

 

 - 유출 추적 불가능

• 로그인 없이 접근 가능한 구조였기 때문에 악의적 데이터 접근 모니터링이 불가능하며, 실제로 얼마나 많은 개인정보가 유출되었는지 파악할 수 없습니다.​

 

 - 공공데이터 개방의 보안 부재

• 윤석열 정부의 디지털 플랫폼 정부 정책으로 오픈 API 방식으로 개방되었으나, 개방 과정에서 민감 개인정보 보호 조치가 전혀 이루어지지 않았습니다.
• 공공데이터 개방의 방향성은 올바르지만, 주민등록번호와 주소 같은 민감정보가 아무런 허들 없이 유출되는 것은 심각한 문제입니다.​

 

 - 차세대 시스템 개편 시 보안 검증 미흡

• 2025년 6월 9일 차세대 시스템으로 전면 개편하면서 보안 취약점 점검이 제대로 이루어지지 않았습니다.
• 클라우드 기반으로 새롭게 구축하면서 편의성만 강조하고 보안은 소홀히 한 것으로 보입니다.​

 

 - API 관리 체계의 신뢰도 저하

• 이번 사태는 공공데이터 API 관리 체계에 거대한 허점이 있음을 드러냈으며, 공공데이터 관리 전반에 대한 신뢰도를 낮추고 있습니다.
• Car365는 중고차 시세 확인, 침수차량 조회, 리콜 확인 등 다양한 민간 서비스에 활용되는 핵심 공공데이터 서비스였습니다.​

 

 - 유출 규모 파악 실패

• 한국교통안전공단은 유출된 개인정보가 총 4건이라고 발표했으나, 시사IN의 추가 테스트만으로도 5건 이상이 확인되어 공단의 사고 파악 능력 자체에 문제가 있음을 보여주고 있습니다.