국토부·서울대병원이 내 주민번호 유출지?...공공기관 첫 과징금

팽동현 2023. 5. 10. 14:52
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

최장혁 개인정보보호위원회 부위원장이 10일 정부서울청사에서 제8회 개인정보보호위원회 전체회의 개회를 알리며 의사봉을 두드리고 있다. 개인정보위 제공

최장혁 개인정보보호위원회 부위원장이 10일 정부서울청사에서 제8회 개인정보보호위원회 전체회의 개회를 알리며 의사봉을 두드리고 있다. 개인정보위 제공

공공기관 중 최초로 국토교통부와 서울대학교병원에 개인정보보호법 위반에 따른 과징금 처분이 내려졌다. 이들은 안전조치를 제대로 하지 않아 개인정보 유출사고로 이어졌다.

개인정보보호위원회는 10일 전체회의에서 14개 공공기관의 개인정보보호 법규 위반에 대해 심의해 이 같은 처분을 의결했다. 나머지 12개 기관에 대해선 과태료 부과 및 시정명령을 결정했다.

안전조치의무 위반 정도가 상대적으로 중대한 서울대병원에는 7475만원의 과징금과 660만원의 과태료가 함께 부과됐다. 2021년 6월 해커가 악성코드(웹쉘)로 유휴 웹서버에 침투해 주민등록번호(1만89명)와 개인정보(2만2020명)를 탈취, 이미 확보한 계정정보 등으로 병리자료 서버에 침입해 환자 진료정보(65만2930명, 사망자 포함 시 81만38명)를 빼돌렸다. 동일한 경로로 내부망 전자사보DB(데이터베이스) 접속 후 직원정보(1953명)도 빼냈다.

건축 행정 시스템 수정 과정에서 오류로 주민등록번호가 유출된 국토교통부에는 2500만원의 과징금이 부과됐다. 건축물대장 발급시스템(세움터) 소소코드 수정 과정에서 연계시스템(일사편리)과 신청인 발급 코드가 중복되는 오류가 발생, 약 16시간 동안 소유자 본인 외 다른 민원인들에게 주민등록번호(2만7631명)가 마스킹(가림) 처리 없이 노출됐다.

이밖에 한국과학기술원, 서울대학교(이상 해킹), 서울 강북구(시스템 오류), 용인교육지원청, 서울 강남구, 협성대학교, 농림축산검역본부, 인천 남동구(이상 담당자 부주의) 등 8개 기관에는 300만~900만원의 과태료를 부과했다. 개인정보를 잘못 발송하거나 재활용 분리장에 방치하는 등 행위로 개인정보를 유출했다.

또한 개인정보 침해신고 등으로 조사받은 서울교통공사·창원시·한국과학기술원·한국잡월드·한국산업인력공단 등 5개 기관에 대해서는 시스템 접근권한을 제대로 관리하지 않거나 동의 없는 개인정보 수집, 보유기간이 지난 개인정보 미파기 등 법 위반 사실이 확인돼 300만~1200만원의 과태료 등이 처분됐다.

특히 지난해 9월 신당역 살인사건이 발생한 서울교통공사는 전 직원에게 다른 직원의 주소지를 검색할 수 있는 접근권한을 부여하고, 직위해제된 직원의 접근권한을 지체 없이 말소하지 않는 등 안전조치를 소홀히 했다. 이에 '공공기관 유출방지 대책'에 따라 2개월 내 보유 시스템 전반에 대해 점검하고 개인정보보호 강화 대책을 수립·이행토록 하는 개선권고도 받았다.

남석 개인정보위 조사조정국장은 "공공기관의 경우 다량의 개인정보를 처리하고 있어 작은 위반행위로도 심각한 피해로 이어질 가능성이 큰 만큼 담당자들의 세심한 주의가 필요하다"면서 "'공공부문 안전조치 강화계획'에 따른 1515개 집중관리시스템은 올해부터 3년간 순차적으로 안전조치 이행상황을 집중 점검할 계획이며, 집중관리시스템이 아니더라도 심각한 유출 사고가 발생한 공공시스템은 점검대상에 포함할 예정"이라고 말했다.

한편 개인정보위는 지난해 10월 국회 지적 및 언론보도에 따라 비대면 진료 플랫폼에 대해 조사한 결과도 이날 발표했다. 월간사용자수 상위 5개 제공사업자인 굿닥·닥터나우·나만의닥터·올라케어·똑닥에 대해 조사한 결과, 이용자 진료 내용 등 의료정보는 병원(의사)이 별도의 EMR(전자의무기록시스템)에 입력할 뿐 비대면 진료 플랫폼에는 수집·저장되지 않았고 진료 내용을 활용한 맞춤형 광고 등을 제공하는 사업자도 없었다.

다만 이용자 개인정보 처리에 대해 개인정보처리방침 전문으로 일괄 동의를 받거나, 개인정보처리시스템에 대한 접근통제, 접속기록 보관, 암호화 등 안전조치를 미흡하게 적용하고 있었다. 일부 사업자는 의·약사의 면허증 등을 수집·저장하는 과정에서 주민등록번호에 대한 마스킹 소홀 등 위반사항이 확인됐다. 개인정보위는 사업자들에 총 3660만원의 과태료 부과와 함께 시정조치를 명하고, 유효기간이 경과한 처방전은 즉시 파기하는 등 내용을 담은 개선권고도 함께 의결했다.팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.