SBS Biz

주민등록증 발급 상황 조회 서비스에 사용된 본인인증 모듈의 취약점을 인지하지 못하고, 수탁업체 관리를 소홀히 해 개인정보를 유출한 행정안전부가 2억 7천만 원이 넘는 과징금 제재를 받게 됩니다. 용역사업 종료 때 정보파기 여부를 확인 안 한 농촌진흥청 등에 대해서도 과징금 처분이 의결됐습니다.



개인정보보호위원회는 어제(27일) 제10회 전체회의를 열고 개인정보 보호법을 위반한 4개 공공기관과 수탁업체 1곳에 대한 처분을 의결했다고 오늘(28일) 밝혔습니다.

정부24서 주민번호 등 개인정보 무더기 유출…행안부에 2.7억 과징금 부과
우선 2건을 위반한 행정안전부에 대해서는 과징금 2억 7천300만 원과 과태료 750만 원을 부과하고, 시정권고 및 공표명령도 함께 내렸습니다.

개인정보위에 따르면 행정안전부는 지난 2024년 4월 정부24를 통해 발급받을 수 있는 교육부 NEIS 연계 민원서류와 국세청 납세증명서 관련 소스코드 개발 오류로 1천233명의 개인정보가 타인에 공개되는 등 유출됐습니다.



NEIS에서 유출된 개인정보는 646명의 생활기록부, 졸업증명서 등 6종을 비롯해 성명, 주민등록번호, 학교정보입니다. 납세증명서 소스코드에선 법인 대표자 성명 및 주민등록번호 등이 유출됐습니다. 

아울러 2025년 5월에는 정부24 홈페이지에서 제공하는 주민등록증 발급상황 조회 서비스에 존재하는 인증 취약점 때문에 주민등록증 발급상황 4건(사망자 1인 포함)이 타인에게 조회되기도 했습니다. 또 공유누리 홈페이지 ‘업무게시판’에 게시된 “공공주차장 담당자” 파일이 노출돼 3천828명의 이름, 전화번호, 이메일주소, 소속기관정보가 유출됐습니다.

개인정보위 조사에 따르면 행정안전부는 정부24를 운영하면서 국세 납세증명서 서식 변경을 위해 개발한 소스코드와 관련하여 ‘개인 발급’에 대해서만 테스트하고 ‘법인 발급’ 테스트는 누락하는 등 점검을 소홀히한 것으로 파악됐습니다. 또한 ‘주민등록증 발급 상황’ 조회 서비스에 사용된 본인인증 모듈의 취약점을 발견·조치하지 않았습니다.

2024년 4월 1일 교육부 NEIS 연계 민원 관련 유출 사실을 인지했지만, 정당한 사유없이 4월 11일에서야 지연 통지했습니다. 개인정보처리방침에 위탁업무와 수탁자를 공개하면서 수탁업체인 메타빌드를 누락하기도 했습니다.

57.5만 개인정보, 다크웹 게시…농촌진흥청, 서류만 받고 '파기' 확인 안해
농촌진흥청, 국립농업과학원, 국립축산과학원, 미소테크 등에 대해서도 총 2억 7천360만 원의 과징금과 과태료 450만 원, 시정권고, 공표명령 등을 의결했습니다.

지난 2025년 4월 7일 농촌진흥청과 소속기관으로부터 시스템 유지·관리 등을 위탁받은 미소테크의 네트워크 저장장치에 저장된 개인정보가 신원 미상의 해커에 탈취돼 다크웹에 게시됐습니다. 해당 NAS에 담긴 개인정보만 이름, 주소, 연락처, 이메일주소, 직장정보, 과학기술인번호, 농장정보 등 57만 5천여 건에 달합니다.

수탁업체인 미소테크는 위탁받은 개인정보를 자체 NAS에 5년 넘게 무단으로 보관했고, 해당 NAS를 외부 IP로 접근 가능한 상태로 운영하면서 관리자 계정의 아이디와 비밀번호만으로 접근이 가능하도록 설정하는 등 접근통제에 필요한 조치를 미흡하게 한 사실이 확인됐습니다.

위탁자인 농촌진흥청 등도 용역사업 종료 시 수탁업체인 미소테크로부터 '자료미보유확약서'만 받고 노트북·외장하드 등에서 개인정보가 파기되었는지 여부는 점검·확인하지 않았습니다. 수탁업체의 개인정보 보유 현황, 업무처리 환경 등을 파악·통제하지 못하는 등 수탁자 관리·감독에 소홀한 사실도 확인됐습니다.

개인정보위는 농촌진흥청에는 과징금 1억 6천800만 원을, 국립농업과학원에는 과징금 2천310만 원을 부과했고, 국립축산과학원에는 시정명령을 내렸습니다.

수탁사인 미소테크는 과징금 8천250만 원과 과태료 450만 원을 부과했습니다.

"처리시스템 안전성 확보 실패, 최종 책임 주체에 책임"
개인정보위는 "처리시스템의 안전성 확보 실패로 유출이 발생한 경우, 해당 시스템에 대한 최종 책임 주체인 공공기관에게 보호법 상 안전조치의무 위반 책임이 있음을 명확히 했다"며 "수탁자도 안전조치의무 위반 책임을 물을 수 있다는 판단 기준을 제시했다"고 설명했습니다.

이후 개인정보위는 위·수탁 구조에서 발생하는 관리 공백이 최소화될 수 있도록 공공기관들에 처분 사례를 공유하고, 현장 중심의 관리·감독 강화를 유도해 나갈 계획입니다.