개인정보보호위원회(위원장 고학수)는 12일 오전 정부서울청사에서 제12회 전체회의를 열고, 개인정보보호 법규를 위반한 BSC와 SK 계열사, 인크루트에 대해 과태료 및 과징금을 부과하기로 의결했다.
고학수 개인정보보호위원회 위원장이 12일 정부서울청사에서 열린 제12회 개인정보보호위원회 전체회의에서 개회를 알리며 의사봉을 두드리고 있다. /연합뉴스
BSC는 SK그룹의 채용종합역량검사를 관리·감독하던 업체로, 시스템의 관리자페이지 접근통제 조사를 미흡하게 해 응시자의 개인정보 1679건이 유출됐다. 또, 보관기간이 지난 평가 응시자의 개인정보를 파기하지 않은 사실도 적발됐다.
개인정보보호위원회는 BSC에는 시정명령을, BSC에 대한 관리·감독을 미흡하게 한 SK이노베이션 등 9개 계열사에는 시정명령을, SK수펙스추구협의회 등 24개 계열사에는 과태료 2400만원과 시정명령 처분을 내렸다.
실시간 취업정보 사이트인 인크루트는 해커의 크리덴셜 스터핑 공격(사전 확보한 아이디와 비밀번호 정보를 무작위로 대입해 로그인하는 공격)을 당했음에도 대규모 로그인 시도 차단 정책을 실행하지 않았다. 휴면계정 해제 시 별도의 추가 인증 없이 아이디와 비밀번호만으로 해제가 가능하도록 설정해 접근통제 조치를 소홀히 하기도 했다.
이로 인해 인크루트 이용자의 개인정보 3만5076건이 유출됐다. 인크루트에는 과징금 7060만원과 과태료 360만원이 부과됐다.
개인정보보호위원회는 “채용 지원자의 개인정보가 유출되지 않도록 개인정보처리시스템에 대한 접근통제와 관리를 더욱 철저히 하는 계기가 되길 바란다”고 했다.
