서울대병원·국토부에서 샌 개인정보…공공기관 최초 과징금 처분

서울대학교병원과 국토교통부가 개인정보보호법 위반에 따른 과징금 처분을 받았다. 안전조치의무를 제대로 다 하지 않아 개인정보 유출 사고를 내며 공공기관 최초로 관련 과징금을 내게 됐다.

개인정보보호위원회는 10일 전체회의에서 14개 공공기관의 개인정보보호 법규 위반에 대해 심의하고 이 같은 처분을 의결했다. 나머지 12개 기관에 대해선 과태료 부과 및 시정명령을 결정했다.

서울대병원에는 7475만원의 과징금과 660만원의 과태료가 함께 부과됐다. 2021년 6월 해커가 악성코드(웹쉘)을 통해 서울대병원의 유휴 웹서버에 들어와 1만89명의 주민등록번호와 2만2020명의 개인정보를 탈취했다.

해커들은 또 이미 확보한 계정정보 등으로 병리자료 서버에 침입해 환자 65만2930명의 진료정보를 빼냈다. 사망자까지 포함하면 탈취된 진료정보는 81만38명에 달한다. 동일한 경로로 내부망 전자사보 데이터베이스(DB)에 접속한 뒤 직원 1953명의 정보도 빼냈다.

건축행정 시스템 수정 과정에서 주민등록번호가 유출된 국토에는 2500만원의 과징금이 부과됐다. 건축물대장 발급시스템(세움터) 소스코드 수정 과정에서 연계시스템(일사편리)과 신청인 발급 코드가 중복되는 오류가 발생했다. 이를 통해 약 16시간 동안 소유자 본인 외 다른 민원인들에게 2만7631명의 주민등록번호가 가림처리 없이 노출됐다.

이밖에 ▲한국과학기술원 ▲서울대 ▲서울 강북구  ▲용인교육지원청 ▲서울 강남구 ▲협성대 ▲농림축산검역본부 ▲인천 남동구 등 8개 기관에는 300만부터 최대 900만원의 과태료를 부과했다.

또한 개인정보 침해신고가 들어와 조사 받은 ▲서울교통공사 ▲창원시 ▲한국과학기술원 ▲한국잡월드 ▲한국산업인력공단 등 5개 기관은 시스템 접근권한 관리 미비, 동의 없는 개인정보 수집, 보유기간이 끝난 개인정보 미파기 등 법 위반 사실이 확인돼 300만~1200만원의 과태료 처분이 나왔다.

특히 지난해 9월 신당역 살인사건이 발생한 서울교통공사는 전 직원에게 다른 직원의 주소지를 검색할 수 있는 접근권한을 부여하고, 직위해제된 직원의 접근권한을 지체 없이 말소하지 않는 등 안전조치를 소홀히 한 것으로 드러났다. 2차 피해를 막기 위해 ‘공공기관 유출방지 대책’에 따라 2개월 내 보유 시스템 전반을 점검하고 개인정보보호 강화 대책을 이행하도록 하는 개선권고도 받았다.

남석 개인정보위 조사조정국장은 “공공기관의 경우 다량의 개인정보를 처리하고 있어 작은 위반행위로도 심각한 피해로 이어질 가능성이 크다”며 “공공부문 안전조치 강화계획에 따른 1515개 집중관리시스템은 올해부터 3년간 순차적으로 안전조치 이행상황을 집중 점검할 계획이며, 집중관리시스템이 아니더라도 심각한 유출 사고가 발생한 공공시스템 또한 점검대상에 포함할 예정”이라고 밝혔다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network