2025.10.25 부동산거래관리시스템(RTMS) 개인정보유출 정리

1. 개요

• 2025년 10월, 국토교통부 산하 한국부동산원이 운영하는 부동산거래관리시스템(RTMS, rtms.molit.go.kr)에서 보안 취약점이 발견되어 개인정보 유출 가능성이 제기되었습니다.
• 시사IN의 취재 결과, 부동산 매매 및 임대차 거래 과정에서 제출하는 자금조달계획서와 임대차계약서 사본이 파라미터 조작을 통해 무작위로 추출될 수 있는 보안 문제가 확인되었습니다.​
  
  RTMS는 2006년부터 운영되어 온 부동산 거래 신고 및 전산화 플랫폼으로, 부동산 거래의 투명성을 높이고 실거래가 공개 등에 활용되는 국가 핵심 시스템입니다.
• 이번 사건이 발생한 시스템은 2024년 2월 개편된 '차세대 부동산거래관리시스템'으로, 당시 국토교통부는 개인정보 안전조치가 강화되었다고 홍보했던 시스템입니다.​

 

2. 피해범위

 - 현재까지 확인된 피해 범위는 제한적이나, 잠재적 피해 규모는 상당할 것으로 추정됩니다.

  > 접근 가능 대상자

• 보안 취약점을 악용하기 위해서는 RTMS에 로그인하여 자금조달계획서나 임대차계약서를 한 번이라도 업로드한 이력이 있는 사용자여야 합니다.
• 이는 Car365 사건처럼 API를 통한 대규모 무차별 정보 유출과는 달리, 피해가 일정 부분 제한적일 수 있음을 의미합니다.​

 

  > 실제 피해 확인

• 한국부동산원은 2025년 10월 23일 시사IN에 "비정상적인 접근이 가능하다는 것을 확인했으며, 현재까지는 해당 접근 경로를 통한 개인정보 유출이 없었던 것으로 파악하고 있다"고 답변했습니다.
• 그러나 추가적인 유출 여부는 계속 확인 중인 상황입니다.​

 

  > 잠재적 영향

• RTMS는 전국 부동산 거래 신고를 처리하는 시스템으로, 2024년 2월 차세대 시스템 전환 이후 전국 229개 지자체의 서버와 개인정보가 클라우드 기반으로 일원화되었습니다.
• 따라서 취약점이 악용될 경우 광범위한 거래 정보가 노출될 위험이 있었습니다.​

 

3. 유출항목

 - 보안 취약점을 통해 접근 가능했던 정보는 다음과 같습니다.

  > 자금조달계획서에 포함된 정보

• 이름
• 주민등록번호
• 연락처
• 부동산 거래 시 동원한 자금의 원천에 대한 상세 정보

 

  > 임대차거래계약서에 포함된 정보

• 계약 당사자의 개인정보
• 임대차 거래 조건 및 내역

 

 - 이러한 정보들은 PDF 파일 형태로 시스템의 첨부파일 서버에 저장되어 있었으며, URL 파라미터 조작을 통해 타인의 파일에 무단 접근이 가능한 상태였습니다.​

4. 원인

 - 이번 보안 사고의 주요 원인은 첨부파일 서버의 파라미터 변조 취약점이니다.

  > 기술적 원인

• RTMS에서 자금조달계획서나 임대차계약서를 PDF 파일로 업로드하면, 사용자는 '신고내역 상세조회'에서 자신의 첨부파일을 확인할 수 있었습니다
• 첨부파일 확인 버튼의 URL에 포함된 일련번호를 조작(파라미터 조작)하면, 전혀 다른 사람의 자금조달계획서나 임대차계약서를 무작위로 다운로드할 수 있었습니다
• 한 IT 전문가는 "첨부파일은 파일서버에 보관되는 것으로 보이는데, 이 파일서버 보안에 문제가 있는 것으로 보인다"고 지적했습니다​

 

  > 파라미터 변조 취약점의 특성

• 사용자 입력값인 파라미터를 변조하여 권한 밖의 정보에 접근하는 보안 취약점
• 웹 방화벽에서 차단이 어려운 논리적 취약점​
• 서버 측에서 적절한 권한 검증이 이루어지지 않을 때 발생​

 

  > 시스템 설계상의 문제점

• 첨부파일 접근 권한에 대한 서버 측 검증 부재
• 사용자 세션과 파일 소유권에 대한 검증 로직 미흡
• URL 파라미터만으로 파일 접근을 허용하는 취약한 접근 제어 구조​

 

5. 대응

 - 한국부동산원과 국토교통부는 취약점 발견 즉시 다음과 같은 조치를 취했습니다.

  > 즉각 대응

• 2025년 10월 23일 시사IN의 취재를 통해 취약점 확인 후 즉시 보안 문제 시정
• 비정상적인 접근 경로 차단
• 추가 유출 여부에 대한 지속적인 모니터링 실시

 

  > 사후 조치

• 현재까지 해당 접근 경로를 통한 개인정보 유출이 없었음을 확인
• 추가적인 유출 가능성에 대한 전수 조사 진행 중
• 시사IN 제947호(10월 31일 발행 예정)를 통해 국토부 산하 IT 서비스의 보안 문제에 대한 상세 보도 예정​

 

  > 제도적 개선 노력

• 2024년 9월, 개인정보보호위원회는 RTMS를 포함한 35개 공공 민원 시스템에 대해 안전 조치 개선을 권고한 바 있습니다

 

 - 차세대 시스템 전환 시 클라우드 기반 일원화를 통해 접근권한 관리, 접속이력 점검 등 개인정보 안전장치를 강화했다고 밝혔으나, 이번 사건으로 추가 보완이 필요함이 드러났습니다​

6. 문제점

 - 이번 사건은 여러 구조적 문제점을 드러냈습니다.

  > 보안 설계의 근본적 취약성

• 2024년 2월 "개인정보 안전조치 강화"를 내세우며 차세대 시스템으로 전환했으나, 기본적인 파라미터 검증조차 제대로 이루어지지 않았습니다​
• 첨부파일 서버에 대한 접근 제어 로직이 부실하여 단순한 파라미터 조작만으로도 타인의 민감 정보에 접근 가능했습니다​

 

  > 사전 보안 점검 미흡

• 개인정보보호위원회가 2024년 9월 RTMS에 대한 안전 조치 개선을 권고했음에도, 파라미터 변조와 같은 기본적인 웹 취약점이 발견되지 않았습니다​
• 시스템 개편 과정에서 충분한 보안 취약점 진단이 이루어지지 않았을 가능성​

 

  > 투명한 정보 공개 부족

• 한국부동산원은 "현재까지 유출이 없었다"고 밝혔으나, 구체적인 피해 규모나 취약점 존재 기간에 대한 상세 정보는 공개하지 않았습니다​
• 국민들에게 즉각적인 공지나 경고가 이루어지지 않아, 잠재적 피해자들이 대응할 기회가 제한되었습니다

 

  > 반복되는 정부 시스템 보안 사고

• 최근 5년간 국토부와 산하기관에서 4만 건 이상의 개인정보가 유출되었습니다​
• 2025년 10월에는 전세사기 피해자 정보 유출을 포함한 다양한 사고가 발생했습니다​
• 정부 시스템의 보안 관리 체계에 대한 근본적인 재검토가 필요함을 시사합니다

 

  > 부동산 정보 시스템의 구조적 취약성

• 부동산 중개 프로그램의 서버 버전을 통한 개인정보 무단 수집 문제가 2019년부터 지속적으로 제기되어 왔으나, 근본적인 해결이 이루어지지 않고 있습니다​
• 공공과 민간을 막론하고 부동산 관련 시스템의 보안이 취약하다는 점이 반복적으로 드러나고 있습니다​

 

 - 이번 RTMS 보안 사고는 정부의 핵심 부동산 정보 시스템에서 발생한 심각한 보안 취약점으로, 국민의 민감한 재산 정보가 위험에 노출될 수 있었다는 점에서 우려를 낳고 있습니다.

 - 시스템 현대화와 함께 보안 검증 절차를 대폭 강화하고, 사고 발생 시 투명한 정보 공개와 신속한 대응이 필요하다는 교훈을 남겼습니다.