(출처=개인정보위)

개인정보위, 행안부·농진청 등 5개 기관·업체에 과징금 5억4660만원 부과

By곽중희

개인정보보호위원회(이하 개인정보위)는 개인정보보호법을 위반한 4개 공공기관과 수탁업체 1곳에 과징금 5억4660만원과 과태료 1200만원을 부과하기로 의결했다고 28일 밝혔다.

개인정보위는 지난 27일 제10회 전체회의를 열고 행정안전부, 농촌진흥청, 국립농업과학원, 국립축산과학원, 미소테크에 대한 처분을 의결했다. 행정안전부는 정부24와 공유누리 관련 2건으로 조사 대상에 포함됐다.

개인정보위는 이번 처분에서 공공기관 정보화사업 과정에서 개인정보가 유출됐을 때 시스템의 최종 책임 주체인 공공기관에 안전조치의무 위반 책임이 있다는 점을 명확히 했다. 수탁자에게 고유한 과실이 있으면 수탁자도 제재할 수 있다는 판단 기준도 제시했다.

정부24, 개발 오류로 1233명 개인정보 유출

행정안전부는 통합행정 서비스 포털 ‘정부24’를 운영하는 과정에서 개인정보 안전조치의무 등을 위반했다. 지난해 4월 정부24에서 발급할 수 있는 교육부 교육행정정보시스템(NEIS) 연계 민원서류와 국세청 납세증명서 관련 소스코드 개발 오류로 1233명의 개인정보가 타인에게 공개됐다.

유출 항목은 생활기록부, 졸업증명서 등 교육행정정보시스템 연계 민원서류 6종에 포함된 성명, 생년월일 또는 주민등록번호, 학교정보 등이다. 해당 유출 대상은 646명이다. 납세증명서에서는 법인 대표자 성명과 주민등록번호가 유출됐다. 대상은 587명이다.

지난해 5월에는 정부24 홈페이지에서 제공하는 주민등록증 발급상황 조회 서비스의 인증 취약점으로 주민등록증 발급상황 4건이 타인에게 조회됐다. 여기에는 사망자 1명의 정보도 포함됐다. 공유누리 홈페이지 업무게시판에 올라온 공공주차장 담당자 파일도 구글 검색에 노출됐다. 해당 파일에는 이름, 전화번호, 이메일주소, 소속기관정보 등 3828명의 개인정보가 포함됐다.

개인정보위는 행정안전부가 국세 납세증명서 서식 변경을 위해 개발한 소스코드와 관련해 개인 발급만 테스트하고 법인 발급 테스트를 누락했다고 봤다. 주민등록증 발급상황 조회 서비스에 쓰인 본인인증 모듈의 취약점도 발견해 조치하지 않았다고 판단했다.

행정안전부는 교육행정정보시스템 연계 민원 관련 유출 사실을 지난해 4월 1일 인지했지만 정당한 사유 없이 72시간을 넘겨 같은 달 11일부터 22일까지 통지했다. 개인정보처리방침에 위탁업무와 수탁자를 공개하면서 수탁업체인 메타빌드를 누락한 사실도 확인됐다.

이에 개인정보위는 행정안전부에 정부24 관련 과징금 2억7300만원과 과태료 300만원을 부과했다. 프로그램 개발 관련 사전검토 강화 시정권고, 처분 결과 공표, 공표명령도 의결했다. 공유누리 업무게시판 접근통제 미조치에 대해서는 과태료 450만원과 공표를 의결했다.

수탁업체 NAS575000여건 다크웹에 유출

농촌진흥청과 소속기관 관련 조사에서는 수탁업체 미소테크의 네트워크 저장장치(NAS)에 저장된 개인정보가 다크웹에 게시된 사실이 확인됐다. NAS는 여러 사용자가 네트워크를 통해 파일을 저장하고 공유할 수 있는 저장장치다.

지난해 4월 7일 신원 미상의 해커는 농촌진흥청과 소속기관으로부터 시스템 유지·관리 등을 위탁받은 미소테크의 NAS에 저장된 개인정보를 탈취해 다크웹에 게시했다. 해당 NAS에는 중복을 포함해 개인정보 57만5000여건이 들어 있었다.

유출 항목은 이름, 주소, 연락처, 이메일주소, 직장정보, 과학기술인번호, 농장정보 등이다. 개인정보위 조사 결과 미소테크는 위탁받은 개인정보를 2020년 5월부터 지난해 4월까지 자체 NAS에 무단 보관했다. 해당 NAS는 2017년 6월부터 지난해 4월까지 외부 인터넷 주소(IP)로 접근할 수 있는 상태였다. 관리자 계정의 아이디와 비밀번호만으로 접근할 수 있도록 설정하는 등 접근통제 조치도 미흡했다.

위탁자인 농촌진흥청 등도 수탁자 관리·감독 의무를 다하지 않았다. 용역사업 종료 때 미소테크로부터 자료미보유확약서만 받았고 노트북, 외장하드 등에서 개인정보가 실제 파기됐는지는 점검하지 않았다. 수탁업체의 개인정보 보유 현황과 업무처리 환경도 파악·통제하지 못했다.

개인정보위는 안전조치의무를 위반해 개인정보를 유출한 미소테크에 과징금 8250만원과 과태료 450만원을 부과했다. 공표명령도 의결했다.

수탁자 관리·감독 의무를 위반한 농촌진흥청에는 과징금 1억6800만원과 시정권고, 공표, 공표명령을 의결했다. 국립농업과학원에는 과징금 2310만원과 시정명령, 공표를 의결했다. 국립축산과학원에는 옛 개인정보보호법에 따른 시정명령을 의결했다.

개인정보위는 앞으로 공공부문 정보화사업 과정에서 발생할 수 있는 개인정보 보호 취약요인을 점검한다. 위탁자와 수탁자 사이 관리 공백을 줄일 수 있도록 공공기관에 처분 사례를 공유하고 현장 중심의 관리·감독 강화를 유도할 계획이다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

곽중희

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.

[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.

일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40