북 해커에 81만여명 개인정보 털린 서울대병원 7500만원 과징금

최장혁 개인정보보호위원회 부위원장이 10일 정부서울청사에서 개인정보보호위원회 8회 전체회의를 주재하고 있다. 연합뉴스

개인정보 보호조치를 소홀히 해 북한 해킹조직에게 환자 81만여명의 정보를 탈취당한 서울대병원이 과징금 7500만원을 부과받았다. 국토교통부는 2만7000여명의 주민등록번호를 가리지 않고 노출해 과징금 2500만원을 물게 됐다.

개인정보보호위원회는 10일 전체회의에서 공공기관 14곳의 개인정보보호 법규 위반에 대해 심의해 서울대병원과 국토부 등 2곳에 공공기관 최초로 과징금을 부과했다고 밝혔다. 다른 12곳에 대해서도 과태료 부과와 시정명령을 의결했다.

개인정보가 유출된 10개 기관 중 주민등록번호를 유출한 서울대병원과 국토부 등 2곳에는 과징금을, 나머지 8곳에는 과태료를 부과했다.

앞서 서울대병원은 2021년 안전조치 의무를 위반해 환자 65만2930명의 정보가 북한 해커에 탈취된 사고를 불렀다. 사망자를 포함하면 해당 규모는 81만38명으로 늘며, 직원 1953명의 정보도 빠져나갔다. 이에 개인정보위는 서울대병원에 과징금 7475만원과 과태료 660만원을 함께 부과했다.

또한 국토부는 건축행정시스템 수정 과정에서 오류로 주민등록번호를 유출해 과징금 2500만원을 물게 됐다. 그 밖에 개인정보를 잘못 발송하거나 재활용 분리장에 방치하는 등 행위로 개인정보를 유출시킨 나머지 기관 8곳에 대해서는 300만∼900만원의 과태료를 부과했다.

개인정보 침해 신고로 조사를 받은 기관 4곳에 대해서도 과태료 처분을 했다. 지난해 9월 발생한 신당역 스토킹 살인사건의 가해자는 서울교통공사에 재직 중이 아닌데도, 다른 직원의 주소지를 검색할 수 있었다.

서울교통공사는 직위 해제된 직원의 개인정보 접근권한을 바로 말소하지 않는 등 안전조치를 소홀히 한 사실이 확인돼 과태료 360만원 처분을 받았다. 2차 피해의 중대성과 심각성을 고려해 2개월 이내에 보유 시스템 전반을 점검하고, 개인정보보호 강화 대책을 수립하도록 하는 개선 권고도 함께 받았다.

김은성 기자 kes@kyunghyang.com