개인정보보호위원회(위원장 송경희)는 4월 22일 제7회 전체회의를 열고 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 47억 8,820만 원의 과징금과 1,740만 원의 과태료를 부과했다. 또한 시정조치와 함께 처분 사실을 홈페이지에 공표하도록 명령했다. 이들 사업자는 모두 개인정보처리시스템에 대한 안전조치를 소홀히 하여 개인정보가 유출되었고, 법적 근거 없이 주민등록번호를 처리한 것으로 드러났다.
첫 번째 사업자인 ㈜케이에스한국고용정보(이하 KS한국고용)는 콜센터와 텔레마케팅 아웃소싱 서비스를 제공하는 업체다. 지난해 4월 해커가 관리자 계정정보를 획득해 관리자 페이지에 접속한 후 상담사, 본사 직원, 입사지원자 등 4만 875명의 개인정보를 내려받았다. 유출된 정보에는 이름, 주민등록번호, 휴대전화번호, 주소, 이메일, 계좌번호 등이 포함됐다. 이후 해커는 웹페이지의 취약점을 이용해 서버 내 각종 인사서류 파일 약 5만 건을 추가로 유출했으며, 이 서류에는 주민등록등본, 신분증 사본, 통장 사본, 가족관계 증명서 등 본인과 가족의 개인정보가 다수 포함되어 있었다. 확인된 피해 정보는 다크웹에 게시되고 데이터베이스 거래가 시도되기도 했다.
조사 결과 KS한국고용은 개인정보처리시스템에 대한 접속 권한을 IP 등으로 제한하지 않았고, 안전한 접속수단이나 인증수단을 적용하지 않아 아이디와 비밀번호만으로 외부 접속이 가능했다. 또한 인사증빙 서류 내 주민등록번호를 마스킹 또는 암호화 조치 없이 저장했으며, 입사지원자가 최종 합격하여 직원이 되기 전임에도 법적 근거 없이 주민등록번호를 수집·처리했다. 보유기간이 경과한 퇴사자 및 교육생 2035명의 개인정보를 파기하지 않은 사실도 확인됐다. 이에 개인정보위는 KS한국고용에 과징금 35억 3700만 원, 과태료 420만 원을 부과하고 접속기록 및 다운로드 상황 주기적 점검, 개인정보 파기 지침 수립·운영 등을 명령했다.
두 번째 사업자인 듀오정보는 결혼중개서비스를 제공하는 업체로, 가장 많은 피해 규모를 기록했다. 지난 1월 해커가 인터넷망에 접속한 직원의 업무용 PC에 악성 코드를 감염시켜 데이터베이스 서버 계정 정보를 확보한 후 전체 정회원 42만 7464명의 개인정보를 내려받아 유출했다. 유출된 정보는 아이디, 비밀번호, 이름, 생년월일, 주민등록번호, 성별, 이메일, 휴대폰 번호, 주소는 물론 신장, 체중, 혈액형, 종교, 취미, 혼인경력, 형제관계, 학력, 직장명 등 결혼중개 특성상 한 사람의 삶과 성향이 담긴 민감한 정보가 대거 포함됐다.
조사 결과 듀오정보는 회원 데이터베이스에 접속할 때 일정 횟수 이상 인증 실패 시 접근을 제한하는 조치를 설정하지 않았고, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용했다. 정회원 가입 시 법적 근거 없이 주민등록번호를 수집·저장했으며, 개인정보처리방침에 기재한 보유기간 5년이 경과된 정회원 정보 29만 8566건을 파기하지 않은 사실도 확인됐다. 특히 듀오정보는 유출 사실을 확인하고도 정당한 사유 없이 72시간을 경과해 유출 신고를 지연했고, 현재까지 정보주체에게 유출 사실을 통지하지 않아 2차 피해 방지 대응에 소홀한 것으로 나타났다. 개인정보위는 듀오정보에 과징금 11억 9700만 원, 과태료 1320만 원을 부과하고 즉각적인 유출 통지와 안전 조치 강화, 필요 최소한의 정보만 수집하도록 개인정보 처리 방식 점검 등을 명령했다.
세 번째 사업자인 재단법인 금릉공원묘원은 묘지 임대·관리 서비스를 제공하는 업체다. 해커가 웹사이트 내 관리비 조회·납부 페이지의 파라미터 변조 취약점을 악용해 이용자 5373명의 개인정보(이름, 주민등록번호, 휴대전화번호)를 유출했다. 이 취약점은 웹페이지에서 입력받는 파라미터 값을 공란으로 설정해 전송하면 전체 개인정보가 출력되는 방식이었다. 조사 결과 금릉공원묘원은 이 취약점에 대한 점검·조치를 소홀히 했고, 인터넷망으로 개인정보 전송 시 암호화 통신을 적용하지 않았으며 주민등록번호를 평문으로 보관한 사실이 확인됐다. 또한 법적 근거 없이 이용자의 주민등록번호를 신원 확인 목적으로 관성적으로 수집해 왔다. 개인정보위는 금릉공원묘원에 과징금 5420만 원을 부과하고 취약점 점검, 암호화 등 개인정보 안전관리 체계 강화를 명령했다.
이번 조치의 배경에는 2014년 8월 시행된 주민등록번호 수집 법정주의가 있다. 이 원칙에 따르면 주민등록번호는 법령에 명시적 근거가 있는 경우에만 제한적으로 수집·이용이 가능하다. 그러나 과거의 수집 관행에 따라 계속 수집하거나 사업자 편의에 따라 수집 허용 시점 이전부터 일괄적으로 수집하는 사례가 빈번히 발생하고 있다. 개인정보위는 이번 제재를 계기로 사업자들이 주민등록번호 처리 시 적법한 근거가 있는지, 암호화 저장 등 안전 조치를 적절히 이행하고 있는지 체계적으로 점검할 것을 당부했다.
앞으로 개인정보위는 결혼중개, 채용 서비스 등 정보주체로부터 대량의 민감한 정보를 수집하는 처리자를 대상으로 개인정보 처리방침 평가와 기획 점검을 실시할 계획이다. 이를 통해 개인정보 수집·이용의 적절성과 정보주체의 권리 보호 수준을 평가하고 개선해 나갈 방침이다. 이번 조치는 안전조치 의무 위반과 주민등록번호 불법 처리에 대한 강력한 경고 메시지를 담고 있으며, 대규모 개인정보 유출 사고에 대한 책임을 엄중히 물은 사례로 평가된다. 소비자들도 자신의 개인정보가 적법하게 처리되고 있는지 관심을 갖고, 필요시 개인정보보호위원회에 신고하는 등 적극적인 권리 행사가 필요할 것으로 보인다.
