개인정보위, 인크루트 등 개인정보 유출 반복·관리소홀 기업에 고강도 제재

인크루트에 4억6300만원·한양CC·서울CC에 총 2억원 과징금 부과
개인정보위, 반복 위반 기업에는 징벌적 과징금 강화 

개인정보보호위원회(위원장 송경희, 이하 개인정보위)가 최근 개인정보 유출 사고를 일으킨 기업들에 대해 잇따라 고강도 제재를 내렸다.

22일 열린 제22회 전체회의에서 개인정보위는 인크루트, 한양컨트리클럽(한양CC), 서울컨트리클럽(서울CC) 총 3개 사업자에 대해 과징금과 과태료를 부과하고 시정명령, 공표명령, 개선권고를 의결했다.

인크루트, 취업준비생 730만명 개인정보 재유출…과징금 4억6300만원

개인정보위는 인크루트에 과징금 4억6300만원을 부과하고 최고개인정보보호책임자(CPO) 신규 지정과 피해자 회복 지원 등 구체적인 재발방지 계획을 60일 내 제출하라는 시정명령을 내렸다.

조사 결과, 인크루트는 지난 2월 해킹으로 인해 약 730만명 취업준비생의 이름·연락처·이력서·자격증 사본 등 438GB 규모의 개인정보가 유출된 사실이 확인됐다. 해커는 내부 직원의 PC에 악성코드를 감염시켜 데이터베이스(DB) 접속 계정을 탈취한 뒤, 1개월 이상 내부망에서 데이터를 외부로 전송했다.

인크루트는 비정상적인 접속 기록과 대용량 트래픽이 발생했음에도 두 달간 침입을 인지하지 못했으며, 업무용 PC에 대한 인터넷망 차단 조치도 하지 않은 것으로 드러났다.

인크루트는 2023년에도 크리덴셜 스터핑 공격으로 3만여건의 개인정보를 유출해 과징금 7000만원을 부과받은 바 있다. 개인정보위는 3년 내 반복된 유출 사고라는 점을 들어 “안전조치 의무를 반복적으로 위반했다”며 엄정 처분했다.

개인정보위는 “구직 플랫폼이 보유한 정보는 학력, 경력, 병역, 장애 여부 등 개인의 삶 전반이 집약된 민감한 데이터”라며 “재발을 막기 위해 징벌적 과징금 제도 개선을 추진하겠다”고 밝혔다.

서울CC·한양CC, 위탁·수탁 모두 책임…총 2억원 과징금

같은 날 개인정보위는 한양CC에 과징금 1억4800만원, 서울CC에 과징금 5310만원을 부과했다.

이번 사건은 한양CC 시스템이 해킹돼 회원 8만7923명에게 스팸문자가 발송되면서 시작됐다. 서울CC는 회원정보 처리를 한양CC에 위탁하고 있었는데, 두 골프장이 동일 웹서버와 데이터베이스를 함께 사용하면서 서울CC 회원의 정보까지 침해됐다.

조사 결과, 한양CC는 관리자 계정과 데이터베이스 접근권한을 구분하지 않고 동일 계정을 사용하는 등 안전조치 의무를 위반한 것으로 드러났다. 서울CC는 위·수탁 계약서에 개인정보 처리 범위나 보호조치를 명시하지 않았고, 개인정보 처리방침에 실제 수탁업체가 아닌 다른 IT업체를 기재하는 등 관리·감독 의무를 다하지 않았다.

또한 두 골프장 모두 회원 주민등록번호 등 개인정보를 목적 달성 이후에도 삭제하지 않은 사실이 확인됐다.

이에 개인정보위는 한양CC에 개인정보 흐름 명확화와 접근권한 분리 개선을, 서울CC에는 수탁자 공개 및 점검 의무 이행을 각각 명령했다.

개인정보위는 “이번 처분은 수탁자가 시스템 운영 책임을 지는 경우에도 위탁자 관리 소홀 책임을 함께 묻는 첫 사례”라며 “기업은 위탁계약 시 보호조치 내용과 목적을 구체적으로 명시해야 한다”고 강조했다.

개인정보위는 “최근 개인정보 유출은 시스템 관리 부실뿐 아니라 위탁관리 책임 소홀에서 비롯되는 경우가 많다”며 “향후 반복 위반 기업에는 징벌적 효과를 갖는 과징금 제도를 적용해 실효성 있는 제재를 강화하겠다”고 밝혔다.

최근 개인정보위는 ‘제도개선 태스크포스(TF)’를 10월 중 구성·출범해 반복적 유출사고 기업에 대한 과징금 가중, 징벌적 과징금 도입, 피해구제 기금 신설 등 정책을 추진하고 있다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network