인니 개인정보 유출 의혹에 "통합세무관리시스템까지 털릴라" 우려 > 경제∙비즈니스

사이버 범죄 해킹 이미지 

인도네시아 재무부 산하 국세청은 내부 조사 결과 납세자의 민감한 정보가 포함된 데이터가 유출됐다는 보고를 부인했다.

 

21일 자카르타포스트에 따르면, 국세청 대변인 드위 아스뚜띠는 20일 성명을 통해 "데이터 유출이 세무당국 시스템 내에서 발생했다는 징후는 없다"며 국세청이 지난 6년간의 액세스 로그를 확인했고, 유출된 샘플의 데이터 구조가 세금 관리에 사용되는 데이터 구조와 다르다고 주장했다.

 

드위는 국세청이 인프라와 시스템 내에서 납세자 데이터의 기밀성과 보안을 보장하기 위해 최선을 다하고 있다며, 데이터 및 시스템 거버넌스를 평가하고 개선하여 데이터 보안 및 보호 시스템을 지속적으로 강화할 것이라고 말했다.

 

사이버 보안 전문가인 뜨구 아쁘리안또가 지난 18일 소셜 미디어 플랫폼 X(옛 트위터)를 통해 조코 위도도 대통령과 각료 등 인도네시아 국민 660만 명의 신원과 납세자식별번호가 유출된 것으로 추정되는 스크린샷을 공유했다.

 

이 게시물에 따르면 비요르까(Bjorka)라는 해커가 9월에 발생한 유출 사건에 대한 책임을 주장하며 민감한 데이터를 미화 1만 달러에 판매하고 있다는 것이다.

 

지난 19일, 조코위 대통령은 재무부, 정보통신부, 국가사이버암호화기관(BSSN)에 보고된 침해 사건을 신속하게 처리할 것을 지시했으며, 스리 물랴니 인드라와띠 재무부 장관은 같은 날 국세청에 이번 사태에 대한 철저한 조사를 지시했다.

 

정부통신부는 이번 유출 사건에 대해 아직 아무런 입장도 발표하지 않았으며 국가사이버암호화기관(BSSN)도 논평 요청에 즉시 응답하지 않았다.

 

정부는 지난 8월 470만 명의 공무원 데이터가 도난 당해 온라인에 판매된 사건을 포함해 지난 한 해 동안 여러 차례 사이버 침해에 직면했다.

 

전문가들은 정부가 올해 말까지 핵심세무관리시스템(CTAS)이라는 새로운 세무 시스템을 출시할 예정이기 때문에 세무 당국에 대한 위험이 더 커질 수 있다고 경고했다.

 

CTAS는 인도네시아의 증가하는 납세자 기반을 수용하도록 설계되었다. 이 시스템은 민사 등록부, 은행 등록부, 차량 소유권 기록 등 외부 데이터베이스와 통합되어 납세 의무를 모니터링하는 정부의 능력을 향상시킨다. 이러한 심층적인 통합은 시스템이 손상될 경우 개인정보보호 문제의 규모도 증가시킬 수 있다.

 

지난 7월 스리 물랴니는 IT 시스템을 개선하면 국내총생산 대비 세금 비율이 1.5%포인트 증가할 수 있다는 연구 결과를 인용했다.

 

쁘라따마-크레스똔 조세연구소(Pratama-Kreston Tax Research Institute,TRI)의 쁘리안또 부디 삽또노 전무이사는 지난 19일, 세무서가 사이버 보안 인프라를 재평가하고 강화해야 하기 때문에 이 사건으로 인해 새로운 세금 시스템의 출시가 지연될 수 있다고 말했다.

 

정부가 CTAS 도입 전에 데이터 유출 사고에 대한 조사를 신속하게 마무리하여 CTAS가 출시되기 전에 필요한 보안 패치를 적용할 수 있도록 해야 한다는 것이다.

 

또한 세무행정시스템의 데이터 유출이 납세자의 신뢰를 심각하게 훼손해 정부의 과세 기반 확대 노력 속에서 향후 세금 징수를 더욱 어렵게 만들 수 있다고 경고했다.

 

만약 정부 공무원의 과실이 입증되면 이 사건은 일반 조항 통합조세절차법에 따라 형사 고발로 이어질 수 있다.

 

경제법률연구센터(CELIOS)의 디지털 경제 담당 책임자인 나이룰 후다는 19일, 이번 사건으로 최근 세무 공무원과 관련된 부패 사건으로 이미 흔들리고 있는 납세자들의 신뢰를 더욱 약화시킬 수 있다며, CTAS와 같은 새로운 플랫폼을 도입하기 전에 시스템 보안을 강화하는 데 집중할 것을 촉구했다.

 

통신정보시스템 보안연 센터(CISSReC)를 이끄는 쁘라따마 쁘르사다는 지난 18일, 데이터 유출이 온라인 도박을 포함한 사기 및 사기의 위험을 증가시킬 수 있다고 말했다.

 

그는 규정을 준수하지 않는 데이터 관리자 및 처리자에게 벌금 및 기타 행정 제재를 부과하는 새로운 기관의 설립이 오랫동안 지연되면서 침해를 막으려는 노력이 방해받고 있다고 말했다.

 

2022년 개인정보보호법은 올해 10월 18일까지 이와같은 기관을 설립하도록 규정하고 있다. [자카르타포스트/자카르타경제신문]