SBS Biz

[사진=개인정보보호위원회]

법적 근거없이 주민등록번호를 처리하고, 개인정보처리시스템에 대한 안전조치를 소홀히 해 이용자들의 개인정보가 유출된 사업자들이 수십억 원대 과징금 철퇴를 맞게 됐습니다. 



상담사, 본사직원 및 입사지원자 등 4만 여명의 정보 유출 사고가 발생한 KS한국고용정보는 35억 원의 과징금이, 40만 명이 넘는 회원정보를 유출한 듀오정보에 대해선 11억 원의 과징금이 각각 부과됐습니다.

개인정보보호위원회는 어제(22일) 7회 전체회의를 열고 개인정보 보호 법규를 위반한 KS한국고용정보와 듀오정보, 금릉공원묘원 등 3개 사업자에 대해 총 47억 8천820만 원의 과징금 및 1천740만 원의 과태료를 부과하고, 시정조치 및 공표 명령을 의결했다고 오늘(23일) 밝혔습니다.

4만875명 주민번호 등 개인정보 유출…KS한국고용정보에 35.3억 원 과징금
우선 개인정보위는 기업 대상 콜센터와 텔레메케팅 아웃소싱 서비스를 제공하는 KS한국고용정보에 대해 35억 3천700만 원의 과징금과 420만 원의 과태료를 부과했습니다. 또 개인정보처리시스템에 대한 접속기록 및 개인정보 다운로드 상황 주기적 점검, 개인정보 파기에 관한 지침을 수립·운영할 것을 명령하는 한편, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했습니다. 



개인정보위에 따르면 이 기업은 앞서 지난 2025년 4월 15일 관리자 계정정보를 획득한 미상의 해커에게 상담사, 본사직원 및 입사지원자 등 4만 875명의 이름, 주민등록번호, 휴대전화번호, 주소, 이메일, 계좌번호 등 개인정보를 탈취당했습니다.

아울러 해커는 웹페이지의 취약점을 이용해 KS한국고용의 상담사‧직원 등이 입사·재직중 제출한 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등 인사서류 파일 약 5만 건을 내려받아 유출했습니다. 개인정보위는 "본인의 정보뿐만 아니라 가족의 개인정보가 다수 포함됐다"라면서 "해커는 유출 정보를 다크웹에 올리고, 거래를 시도하기도 했다"라고 설명했습니다.

개인정보위 조사 결과 KS한국고용은 일반 인사관리 기능과 콜센터 운영 관련 기능을 함께 운영하면서 접속 권한을 아이피(IP) 등으로 제한하지 않은데다 안전한 접속수단 또는 인증수단을 적용하지 않아 아이디·비밀번호 만으로 외부에서 제한 없이 접속이 가능했던 사실이 확인됐습니다. 또 인사증빙 서류 내 주민등록번호를 마스킹 또는 암호화 조치 없이 저장하는 등 안전조치 의무를 다수 위반했습니다.

아울러 입사지원자가 최종 합격하여 직원이 되기 전까지는 주민등록번호를 처리할 수 없음에도 법적 처리 근거 없이 일부 입사지원자의 주민등록번호를 수집·처리하하기도 했습니다. 또 보유기간이 경과한 퇴사자 및 교육생 2천35명의 개인정보를 파기하지도 않았습니다.

40만 인생정보 털린 듀오에 과징금 11.9억 원
결혼중개서비스 제공업체인 듀오정보에 대해선 과징금 11억 9천700만 원과 과태료 1천320만 원을 부과했습니다.

특히 이 기업은 아직도 개인정보 유출통지를 이용자들에게 하지 않은 것으로 파악됐습니다. 이에 개인정보위는 유출통지를 즉각 실시할 것을 명령하면서 처분 사실도 운영 중인 홈페이지에 공표하도록 했습니다.

개인정보위에 따르면 해커는 지난 2025년 1월 인터넷망에 접속한 듀오정보 직원의 업무용 PC에 악성코드를 감염시켰고, 이를 통해 DB서버 계정 정보를 확보한 뒤 전체 정회원 42만 7천464명의 개인정보를 내려받아 외부로 유출했습니다. 유출된 정보에는 아이디와 비밀번호부터 이름, 생년월일, 주민번호, 성별, 이메일주소, 휴대전화번호, 주소, 신장, 체중, 혈액형, 종교, 취미, 혼인경력, 형제관계, 학교명, 전공, 입학·졸업년도, 학교소재지, 입사년월, 직장명 등 민감정보가 다수 포함됐습니다.

조사결과 듀오정보는 회원DB에 대해 일정 횟수 이상 인증 실패 시 접근제한 등의 조치를 설정하지 않았고, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용한 것으로 파악됐습니다. 개인정보위는 "암호화는 했는데, 가이드라인에서 정한 안전한 암호화 알고리즘에 못 미치는 수준이라 쉽게 복호화 가능했다"라고 부연했습니다.

또 법적 근거없이 정회원 가입시 주민등록번호를 수집하고 저장했으며 보유기간인 5년이 지나도 정회원 정보 29만 8천566건을 파기하지 않았습니다.

게다가 듀오정보는 유출 사실을 확인하고도 정당한 사유없이 72시간을 경과해 유출신고를 지연했고,  유출사실을 정보주체에게 현재까지도 통지하지 않는 등 2차 피해 방지 대응에 소홀한 것이 확인됐습니다.

개인정보위는 "민감 정보를 다수 다루고 있는 업체지만, 중기업이라 일부 감경 요소가 적용됐다"라면서 "ISMS-P 인증은 받지 않아 감경 요소에서 배제됐다"라고 부연했습니다.

"과거 관행으로 주민등록번호 수집하는 기업 없어야…기획 점검할 것"
개인정보위는 이용자 5천373명의 이름과 주민번호, 휴대전화번호 등 개인정보를 유출한 금릉공원묘원에 대해서도 과징금 5천420만 원을 부과하는 한편, 시정명령과 공표명령 처분을 의결했습니다.

개인정보위에 따르면 해커는 금릉공원묘원이 운영하는 웹사이트 내 관리비 조회/납부 페이지에 존재하는 파라미터 변조 취약점을 악용해 개인정보를 탈취했습니다. 개인정보위 조사결과에서도 금릉공원묘원은 암호화 통신을 적용하지 않고, 주민번호를 암호화없이 그대로 저장하는 등 보호조치를 소홀히 했고, 해커가 이용한 취약점에 대한 점검과 조치도 미흡하게 한 것으로 나타났습니다.

개인정보위는 "주민등록번호는 법적 근거가 있을 때만 제한적으로 수집하거나 이용해야 하는데도, 과거 수집 관행으로 이를 위반하는 사례가 자주 발생하고 있다"라면서 "사업자들이 주민등록번호를 처리하는 경우 적법한 처리 근거가 있는지, 암호화 저장 등 안전조치를 적절히 이행하고 있는지에 대해 점검해야 한다"라고 당부했습니다.

아울러 결혼중개, 채용 서비스 등 민감정보를 수집하는 기업에 대해 개인정보 처리방침 평가, 기획점검 등을 이어갈 계획입니다.