23만 구직자 정보 유출 질타에 고용정보원 "충분 보상 노력할 것"

16일 오전 서울 여의도 국회에서 열린 환경노동위원회 국정감사에서 박정 위원장이 감사를 주재하고 있다. /사진=뉴시스

한국고용정보원이 23만여건의 개인정보 유출 사고와 관련해 재차 사과했다.

김영중 고용정보원장은 23일 국회 환경노동위원회 고용노동부 산하 국정감사에서 "개인정보 유출에 대해 다시 한 번 매우 송구스럽다는 말씀을 드린다. 피해에 최대한 충실한 보상이 이루어질 수 있도록 노력하겠다"고 말했다.

앞서 7월 고용정보원은 중국 등 해외IP 28개에서 23만여건의 워크넷 무단접속이 확인됐다고 밝혔다. 워크넷은 고용정보원이 운영하는 구인·구직 포털로 유출 범위는 성명·성별·주소·전화번호·학력사항·경력사항 등이 담긴 이력서 정보 등으로 알려졌다.

고용정보원은 워크넷 사용자 계정의 암호는 일방향 암호화돼 있어 워크넷 자체 해킹을 통한 계정 유출은 아니며 이미 유출된 이용자의 아이디와 암호를 다른 사이트 계정 정보에 무작위로 대입해 개인정보는 빼내는 수법인 '크리덴셜 스터핑'으로 추정된다고 밝혔다.

노웅래 더불어민주당 의원은 "실제 유출은 발표하기 일주일 전, 6월28일이었는데 정보 유출을 덮으려고 그런 것이냐"며 "해커 방지 예산을 20억원씩 쓰면서 할 말이 있느냐"고 질타했다.

김 원장은 "그런 게 아니다. 많은 예산을 쓰고 있음에도 이런 유출 사고를 막지 못한 것에 대해서는 매우 유감스럽게 생각한다"며 "크리덴셜 스터핑 공격기법이라는 게 정상적인 사용자와 비정상적인 사용자 구분이 매우 어려운 공격이기도 하다"고 답했다.

박대수 국민의힘 의원은 "전문가 이야기를 들어보니 하나의 IP에서 반복적으로 접근하는 로그기록을 확인하거나 로그인시 휴대폰 번호 인증 같은 2단계 인증을 설정했다면 충분히 사전 예방이 가능하다고 한다"며 "고용정보원 컴퓨터 보안 전문가들이 이를 사전에 인지를 못했다면 능력과 자질에 문제가 있는 게 아니냐"고 지적했다.

김 원장은 "이용자 편의성과 정보보안이 충돌되는 부분이 있어서 2단계 인증 도입을 하지 못했다"며 "재발 방지를 위해 정보보안 및 개인정보 관리에 더욱 노력하겠다. 정보보안 용역업체 선정에도 더 엄격한 평가 기준과 검증을 거치겠다"고 말했다.

이어 "워크넷을 비롯해 현재 저희가 운영 중인 개인정보 처리 대민 전산망에 2차 인증을 모두 도입했고, 신속한 공격 탐지와 차단을 위해 지능형 관제시스템을 구축하고 있다"며 "24시간 보안관제가 가능하도록 내년도 예산안에 반영했으니 경영 최우선 과제로 잘 챙겨서 앞으로 이와 유사한 사고가 발생하지 않도록 최선의 노력을 다하겠다"고 덧붙였다.

고용정보원은 사고발생 이후 워크넷 로그인 시 인증서 기반의 로그인 절차를 밟고 있다. 사용자 편의를 위해 △금융인증서 △아이핀 △공동인증서 △간편인증(네이버·통신사 패스·페이코·신한인증서·KB 모바일 인증서·토스·삼성패스·카카오톡 등 8종) 등 다양한 인증서 방식이 PC와 모바일에 모두 적용된다.

세종=조규희 기자 playingjo@mt.co.kr