1년만에 또?…취업포털 인크루트 730만명 개인정보 유출

해킹 두 달 지나서야 사고 인지
회원 730만명 개인정보·이력서 유출
개인정보위 “반복적 위반 심각”

인크루트 서울 중림동 사옥. (사진=인쿠르트)

국내 주요 취업 포털 ‘인크루트’가 해킹 공격을 받아 730만명에 달하는 회원 개인정보가 대규모로 유출된 사실이 뒤늦게 드러났다. 해킹 발생 후 두 달이 지나서야 사고를 인지한 것으로 확인되면서 개인정보 관리 체계 허점도 도마 위에 올랐다.

개인정보보호위원회(이하 개인정보위)는 23일 인크루트가 개인정보보호 관련 법규를 위반한 사실이 확인됐다며 과징금 4억6300만원을 부과하고 전문 최고개인정보보호책임자(CPO) 신규 지정과 피해자 지원 등 재발 방지 대책을 마련할 것을 명령했다고 밝혔다.

이번 조치는 올해 1월 발생한 대규모 해킹 사건에 따른 제재다. 신원이 확인되지 않은 해커가 인크루트 내부 시스템에 침투해 직원의 업무용 PC에 악성코드를 심고 데이터베이스(DB)에 접근해 개인정보를 빼냈다. 해커는 약 한 달간 내부 시스템을 통해 회원 727만5843명의 이름, 연락처, 생년월일 등 개인정보를 포함해 이력서, 자기소개서, 자격증 사본 등 개인 저장 파일 5만4475건(총 438GB)을 탈취했다.

그러나 인크루트는 업무 시간 외 비정상적인 대용량 트래픽이 반복적으로 발생했음에도 별다른 대응을 하지 않았고 해커로부터 협박 메일을 받은 뒤에야 유출 사실을 인지한 것으로 드러났다.

개인정보위 조사 결과, 민감한 개인정보를 다루는 직원의 PC가 인터넷망과 분리되지 않아 외부에서 개인정보를 다운로드하거나 삭제할 수 있는 상태로 방치돼 있었던 사실도 확인됐다.

인크루트는 지난해 7월에도 개인정보보호법상 안전조치 의무를 위반해 약 3만5000건 개인정보가 유출된 바 있다. 당시 개인정보위는 인크루트에 과징금 7060만원과 과태료 360만원을 부과했으나 불과 1년 만에 또다시 유사한 사고가 발생했다.

개인정보위는 “인크루트의 반복적 위반 행위를 심각하게 보고 현행 법규를 엄격히 적용했다”며 “운영 중인 홈페이지에 처분받은 사실을 공표할 것”을 명령했다.

또한 개인정보위는 이번 사안을 계기로 유출 사고가 반복되는 기업에 대한 제재를 강화하겠다는 방침이다. 위원회 관계자는 “개인정보 보호에 현저히 소홀한 기업에 대해서는 징벌적 효과를 갖는 과징금 제도 개선안을 추진 중”이라며 “제재의 실효성을 높이겠다”고 밝혔다.