"이번엔 학력‧경력도 ‘탈탈’ 털렸다"···인크루트서 ‘또’ 개인정보 유출

사진 제공=인크루트

[서울경제]

취업정보 제공 기업 인크루트에서 또 개인정보 유출 사고가 발생했다. 피해범위에는 성명·생년월일·성별·연락처 뿐 아니라 학력·경력 등 각종 이력정보까지 포함된 것으로 전해졌다.

17일 머니투데이에 따르면 인크루트는 지난 15일 개인정보 유출사고에 따른 사과문을 게시하고 같은 날 유출 대상자·정보 확인서비스를 제공하기 시작했다. 회원들에게는 지난 9일 개인정보 유출 의심에 따른 안내문을 이메일로 발송했다.

보도 내용을 보면 인크루트는 사과문에서 '성명·성별·휴대전화번호 등'의 유출을 확인했다며 서비스에 입력한 정보가 이용자별로 달라 유출 여부·항목은 확인서비스에서 개별적으로 열람할 수 있다고 설명했다.

일부 이용자들의 경우 당초 인트루트로부터 공지받은 3개 정보에 더해 학력·경력·자기소개·자격증·교육이력·수상내역 등 이력정보까지 유출된 것으로 파악됐다.

인크루트 관계자는 "이용자가 입력한 선택 입력사항을 데이터베이스(DB)에 보관하던 도중 해킹 공격으로 일부 유출이 발생했다"며 "모든 이용자의 정보가 유출된 것은 아니다"라고 이 매체에 전했다.

그러면서 "유출항목은 피해 이용자마다 차이가 있다"며 "전체 유출규모는 현재 확인 중"이라고 덧붙였다.

인크루트에 따르면 이번 정보유출은 외부 해커의 공격으로 이뤄졌고, 개인정보 유출시기는 올해 1월19일부터 2월4일까지다. 사고 신고는 지난 7일 한국인터넷진흥원(KISA)에 했다.

개인정보보호위원회는 유출신고에 따라 사실관계를 확인한 뒤 조사에 착수할 계획이다. 조사진은 인크루트의 개인정보 유출 규모·경위와 주요 과징금 부과사유인 법령상 안전조치 의무 준수 여부 등을 가리게 된다.

한편 이번 정보유출은 과거 같은 사고를 낸 기업이 개정 개인정보보호법 시행(2023년 9월) 이후 또다시 사고를 낸 첫 사례다.

개인정보보호법 위반에 따른 과징금 상한선은 '위반행위 관련 매출액의 3%'였다가 법 개정 이후 '전체 매출액의 3%'로 크게 올랐다.

앞서 인크루트는 지난 2020년 9월 해커가 무더기 로그인을 시도하는 '크리덴셜 스터핑' 공격으로 회원 개인정보 3만5076건이 유출되는 사고가 발생했다. 해당 사고로 2023년 7월 과징금 7060만원과 과태료 360만원을 부과받았다.

당시 개인정보위는 인크루트가 대규모 비정상 로그인 시도 탐지·차단 장치를 미리 마련하지 않는 등 안전조치 의무를 소홀히 했다고 지적했다.

인크루트는 불복소송을 제기, 오는 28일 1심 선고를 앞두고 있다.

강민지 인턴기자 mildpond@sedaily.com