'23만 정보유출' 보상 노력?…워크넷 "1인당 최대 20만원 배상 못해"

개인정보 분쟁조정, 불성립 종결

충북 음성 한국고용정보원./사진=뉴시스

지난해 23만명 이상에 달하는 개인정보 유출사고를 빚은 공공 취업정보 서비스 워크넷(현 고용24) 운영기관이 개인정보 보호당국으로부터 제시받은 배상안을 거부한 것으로 나타났다.

22일 관계부처 등에 따르면 개인정보분쟁조정위원회는 워크넷 이용자 21명이 워크넷 운영기관 한국고용정보원을 상대로 낸 분쟁조정 신청을 최근 '조정 불성립'으로 종결했다. 고용정보원이 지난 4월 분쟁조정안을 수락하지 않겠다는 의사를 밝힌 데 따른 결과다.

고용정보원은 성명·휴대전화번호·이메일 등 일반 개인정보가 유출된 이용자 3명에게 5만원씩, 학력·운전능력·차량소유여부 등 중요 개인정보까지 유출된 이용자 18명에게 20만원씩 손해배상금을 지급하라는 조정안을 받았다.

지난해 6~7월 워크넷에선 해킹으로 23만6000여명의 개인정보가 빠져나갔다. 해커는 해외IP(인터넷주소) 28개를 동원해 다른 곳에서 입수한 아이디·비밀번호 수십 만건을 워크넷 로그인 화면에 초당 최대 166차례(평균 73차례) 입력하는 '크리덴셜 스터핑' 공격을 가한 것으로 드러났다.

당시 유출항목은 이용자들이 필수로 입력한 성명·주소·전화번호·출생년도·성별·이메일·학력, 선택사항으로 입력한 경력·보유자격·직업훈련·외국어능력·운전능력과 해외경험·주요활동·수상경력·증명사진·차량소유여부 등이다. 주민등록번호는 유출을 면했다.

크리덴셜 스터핑은 특정 IP의 로그인 시도·실패 횟수가 급증하는 현상을 수반한다. 고용정보원은 이를 탐지·차단할 네트워크 침입방지 장비를 갖추고도 피해를 막지 못한 것으로 드러났다. 전산관리자가 차단 기능을 미리 활성화하지 않은 탓이다.

분쟁조정 절차에서 고용정보원은 워크넷에 대해 "동시다발적 접속이 일어나는 대국민 서비스로, 예전에도 정상 로그인이 초당 60~70차례 이뤄진 적이 있다"며 "(당시 공격을) 비정상적인 접근시도로 보기 어려웠다"고 항변했다. 그러나 분쟁조정위는 "단시간에 대량 발생한 로그인 실패는 충분히 의심할 수 있었다"며 고용정보원이 개인정보보호법상 안전조치 의무를 위반했다고 판단했다.

분쟁조정위는 또 "평소 로그인 시도에 대한 분석자료가 (고용정보원에) 없는 상황"이었다며 "사고 당시 수준의 로그인 시도는 비정상적인 접근으로 간주하고 대응했어야 할 사안"이라고 지적했다. 법령에 따르면 개인정보를 처리하는 기업·기관은 유출시도에 대응하기 위해 접속자 IP 등을 분석할 책임이 있다.

지난해 전체 개인정보 분쟁조정에서 책정된 평균 손해배상금은 28만원이다. 고용정보원은 분쟁조정위가 평균을 밑도는 배상을 주문했는데도 분쟁조정안을 거부한 셈이다. 김영준 전 한국고용정보원장은 지난해 10월 재직 당시 진행된 국정감사에서 "개인정보 유출에 대해 매우 송구스럽다"며 "최대한 충실한 보상이 이뤄질 수 있도록 노력하겠다"고 말했다.

개인정보 분쟁조정은 개인정보 유출 등 피해에 대한 손해배상·재발방지 등을 요구해 법원 소송보다 신속하게 조정안을 받을 수 있는 절차다. 당사자 모두가 조정안을 수락하면 확정판결과 효력이 같은 '재판상 화해'가 성립하지만, 한쪽이라도 불수락 의사를 밝힐 경우 분쟁조정 절차는 '조정 불성립'으로 종결된다.

현행 개인정보보호법은 개인정보 유출·위조 등이 발생한 경우 피해자가 최대 300만원의 손해배상을 청구할 수 있도록 규정돼 있다. 개인정보를 처리하는 기업·기관은 과실·고의가 없었음을 입증하지 못하면 배상책임을 벗어날 수 없다.

한편 고용정보원은 "분쟁조정안이 관련 사례와 비교했을 때 다퉈 볼 여지가 있어 수락하지 않았다"고 밝혔다.

성시호 기자 shsung@mt.co.kr