“내 개인정보가 다크웹에”…개인정보 유출한 기업 3곳 ‘제재’

개인정보처리시스템 안전조치를 소홀히 하고 법적 근거 없이 주민등록번호를 처리해 대규모 개인정보 유출 사고를 낸 3개 사업자에 총 47억 원대 제재가 내려졌습니다.

개인정보보호위원회는 어제(22일) 전체 회의를 열고 ㈜케이에스한국고용정보와 듀오정보 주식회사, (재)금릉공원묘원에 총 47억 8천820만 원의 과징금과 천740만 원의 과태료를 부과했다고 오늘 밝혔습니다.

가장 큰 제재를 받은 ㈜케이에스한국고용정보는 과징금 35억 3천7백만 원, 과태료 420만 원에 시정명령과 공표 명령을 받았습니다.

개인정보위 조사 결과, 해커가 KS한국고용 관리자 계정으로 시스템에 침입해 상담사와 본사 직원, 입사 지원자 등 4만 875명의 개인정보와 인사 서류 약 5만 건을 빼낸 것으로 조사됐습니다.

유출된 정보에는 이름, 주민등록번호, 연락처, 주소 등뿐만 아니라 인사 서류에 포함돼 있던 가족관계증명서 등도 포함됐습니다.

이후 해커는 빼낸 정보를 다크웹에 올리고 보유한 데이터베이스를 거래하려고 했던 것으로 파악됐습니다.

KS한국고용은 개인정보처리시스템의 접속 권한을 아이피(IP) 등으로 제한하지 않았고, 별도의 인증수단도 적용하지 않아 아이디와 비밀번호만으로 외부에서 접속할 수 있었던 것으로 확인됐습니다.

또, 인사 증빙 서류에 포함돼 있던 주민등록번호를 마스킹이나 암호화 없이 저장하는 등 안전조치 의무도 위반했다고 개인정보위는 설명했습니다.

듀오정보 주식회사는 과징금 11억 9천7백만 원, 과태료 천320만 원에 시정명령과 공표 명령을 받았습니다.

개인정보위 조사 결과, 해커가 듀오정보의 직원 업무용 PC에 악성코드를 감염시켰고, 이를 통해 데이터베이스 서버 계정 정보를 확보한 뒤, 정회원 42만 7천464명의 개인정보를 외부로 유출한 것으로 조사됐습니다.

유출된 정보에는 이름과 생년월일, 주민등록번호, 연락처뿐 아니라 학력과 직장, 종교, 취미, 혼인 경력 등의 정보까지 포함됐습니다.

듀오 정보는 회원 데이터베이스에 접속할 때 인증에 실패하면 접근을 제한하는 등의 조치를 두지 않았고, 주민등록번호와 비밀번호에도 안전하지 않은 암호화 알고리즘을 적용한 것으로 나타났습니다.

또, 정회원 가입 과정에서 법적 근거 없이 주민등록번호를 수집·저장했고, 보유기간이 지난 회원 정보 29만 8천566건도 파기하지 않은 것으로 확인됐습니다.

듀오 정보는 유출 사실을 확인하고도 72시간 안에 신고하지 않았고, 정보 주체에 대한 유출 통지도 하지 않아 2차 피해 방지에도 소홀했던 것으로 조사됐습니다.

(재)금릉공원묘원은 과징금 5천420만 원에 시정명령과 공표 명령을 받았습니다.

금릉공원묘원은 웹사이트 관리비 조회·납부 페이지의 취약점을 해커가 악용하면서 이용자 5천373명의 개인정보가 유출된 것으로 조사됐습니다.

유출된 정보는 이름과 주민등록번호, 연락처 등입니다.

금릉공원묘원은 웹페이지의 파라미터 변조 취약점에 대한 점검과 조치를 제대로 하지 않았고, 인터넷망으로 개인정보를 전송하면서 암호화 통신도 적용하지 않은 것으로 드러났습니다.

또 주민등록번호를 평문으로 보관했고, 법적 근거 없이 신원 확인 목적으로 주민등록번호를 수집해 온 사실도 확인됐습니다.

이번 제재를 통해 개인정보위는 사업자들이 주민등록번호를 처리하는 경우 적법한 처리 근거가 있는지, 암호화 저장 등 안전조치를 적절히 이행하고 있는지에 대한 체계적인 점검을 당부했습니다.

[사진 출처 : 연합뉴스]

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 유튜브, 네이버에서도 KBS뉴스를 구독해주세요!

전동흔 기자 (east@kbs.co.kr)