경기도교육청·가톨릭병원 각각 성적·환자정보 유출해 제재

개인정보보호위원회가 성적을 유출한 경기교육청 등 14개 공공기관과, 환자정보를 제약사에 빼돌린 성모병원 등 17개 종합병원에 행정처분을 내렸습니다.

이외에도 카페24, NHN커머스 등 쇼핑몰솔루 상위 4개 제공사업자에 대해서도 행정처분을 내렸습니다.

경기도교육청, 전국연합학력평가 27만명 성적 유출 
개인정보위는 어제(26일) 전체회의를 열고, 올해 초 전국연합학력평가 성적이 유출된 경기도교육청과 개인정보 처리시스템 등의 안전조치를 소홀히 하여 주민등록번호가 유출된 13개 공공기관에 대한 제재 처분을 의결했다고 오늘(27일) 밝혔습니다.
 

(자료=개인정보보호위원회)

해킹으로  약 27만여 전국연합학력평가  응시학생의  성적정보가  유출된 경기도교육청에 대해서는 2천160만 원의 과태료 처분과 함께 보유한 개인정보처리시스템 일제 점검, 거버넌스·매뉴얼 정비, 취급자 교육 강화 등의 개선 권고와 결과 공표를 의결했습니다.

조사 결과, 자체 개발한 온라인시스템의 접근통제를 미흡, 안전한  인증수단  등도 없이  시스템을  운영, 최신 보안패치를 미적용, 접속기록도 점검하지 않는 등 안전조치를 소홀, 보유기간이 지난 성적정보를 파기하지 않는 등 전반적인 관리 부실을 확인했습니다.

개인정보위는 경기도교육청의 이러한 법 위반행위는 현행 개인정보보호법으로는 과태료 처분에 그치지만, 개정 보호법이 시행되는 오는 9월 15일부터는 과징금 부과 등 더 큰 제재를 부과할 수 있게 되어 개인정보를 다루는 기관들의 각별한 주의가 요구된다고 설명했습니다.

일반 개인정보보다 더 엄격히 보호해야 하는 주민등록번호가 암호화 등 안전성 확보조치가 되지 않은 채 유출된 13개 기관에 대하여는 과징금, 과태료 부과 등의 처분을 의결했습니다.

주민등록번호가 담긴 파일이 전자우편이나 공문에 잘못 첨부되어 발송되거나, 합격자 명단 등을 누리집에 게시하면서 엑셀 파일에 주민등록번호가 숨겨진 채로 함께 게시된 경우, 개인정보가 담긴 서류를 제대로 보관·관리하지 않아 이면지에 섞여 유출된 경우, 민간인증 로그인  시 본인인증  오류로 주민등록번호가 다른 사람에게  유출된 경우 등이 있었습니다. 

환자정보, 제약사 직원에 유출…가톨릭병원 2천160만원 과태료
개인정보위는 개인정보보호 법규를 위반한 17개 종합병원 중 16개 병원에 대해  과태료를 부과하고, 17개 전체 종합병원의 개인정보 처리실태에 대한 개선을 권고했습니다.
 

(자료=개인정보보호위원회)

이번 조사는 경찰의 의약품 판매질서 위반 관련 수사를 위한 제약사 압수 수색 과정에서 환자정보의 유출이 확인된 17개 종합병원의 유출 신고에 따라 이뤄졌습니다.

각 병원에서는 병원 직원 또는 제약사 직원이 병원 시스템에서 해당 제약사 제품을 처방받은 환자정보를 촬영· 다운로드한 후 전자우편, 보조저장매체(USB) 등을 통해 외부로 반출하거나, 제약사 직원이 불법적으로 시스템에 직접 접근해 환자정보를 입수하는 등의 방법으로 민감정보가 포함된 총 18만5천271명의 환자정보가 유출된 것으로 드러났습니다.

개인정보위는 환자정보 유출에 가담한 병원 직원과 제약사 직원에게는 개인정보 보호법상 형사벌(벌칙)이 적용되어 경찰 등의 수사가 진행 중인 점을 감안하여, 개인정보처리자로서 각 병원의 개인정보처리시스템상 안전성 확보조치 의무 위반을 중심으로 조사했습니다.

조사 결과, 환자의 민감정보를 처리하는 개인정보처리시스템 운영과정에서 안전조치의무를 소홀히 하는 등 법 위반 사실을 확인했습니다. 

구체적으로 대부분의 조사 대상 병원(16개 병원, 강북삼성병원 제외)에서 개인정보 취급자가 개인정보처리시스템에 접속한 기록을 2년 이상 보관하지 않거나, 개인정보 다운로드 사유 등의 확인과 접속기록의 월 1회 이상 점검을 하지 않았습니다.

4개 병원(성심·동탄성심·강남성심·한강성심병원)에서는 인사이동으로 개인정보 취급자가 변경되었음에도 개인정보처리시스템에 대한 접근권한의 부여·변경·말소 내역을 3년 이상 보관하지 않은 사실이 드러났습니다.

6개 병원(순천향대 부속 서울병원, 건국대 충주병원, 성심·동탄성심·강남성심·한강성심병원)에서는 USB 등 보조저장매체  반출과 반입 통제를 위한 보안대책을 마련하지 않은 사실이 확인됐습니다.

또한 2개 병원(강북삼성병원, 고려대 구로병원)에서는 개인정보처리시스템 접속이 가능한 기기에 권한 없는 자의 물리적 접근이 가능한 취약점을 확인했습니다.

쇼핑몰솔루션 4개 사업자도 철퇴
개인정보위는 쇼핑몰솔루션 제공사업자 카페24(카페24), 커넥트웨이브(메이크샵·마이소호), 아임웹(아임웹), NHN커머스(고도몰 ·샵바이)에 대해 총 1천200만원 과태료 부과, 시정조치 명령, 개선권고를 내렸습니다. 
 

이들 사업자는 솔루션을 이용해 쇼핑몰을 운영하는 이용사업자와 리셀러 개인정보를 처리하면서 개인정보처리시스템에 대한 접근통제, 접속기록 관리, 전송정보 암호화 등 안전조치 의무를 일부 소홀히 한 것으로 확인됐습다.

당신의 제보가 뉴스로 만들어집니다.SBS Biz는 여러분의 제보를 기다리고 있습니다.홈페이지 = https://url.kr/9pghjn

짧고 유익한 Biz 숏폼 바로가기

SBS Biz에 제보하기

저작권자 SBS미디어넷 & SBSi 무단전재-재배포 금지