다음 내용이 궁금하다면?
불편하시다면 뒤로 가기를 눌러주세요
안전조치 의무 다수 위반…'5천명 개인정보 유출' 금릉공원묘원도 과징금
[연합뉴스 자료사진. 재판매 및 DB 금지]
(서울=연합뉴스) 오진송 기자 = 콜센터 용역업체인 케이에스한국고용정보(KS한국고용)가 해커 공격으로 직원 등 4만여 명의 개인정보를 유출해 과징금 35억3천700만원을 처분받았다.
23일 개인정보보호위원회에 따르면 신원 미상의 해커가 KS한국용의 개인정보처리시스템 관리자 계정정보를 획득한 후 작년 4월 15일 관리자 페이지에 접속했다. 해커는 상담사, 본사 직원, 입사 지원자 등 4만875명의 이름·주민등록번호·휴대전화번호·주소·이메일·계좌번호 등 개인정보가 담긴 서버내 각종 인사서류 파일 약 5만건을 내려받아 유출했다.
해당 서류에는 KS한국고용 상담사와 직원 등이 입사 재직 중에 제출한 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명 등이 포함돼 있어 피해자 본인뿐만 아니라 가족의 정보도 유출된 것으로 파악됐다. 이후 해커는 유출 정보를 다크웹에 게시하고 보유한 데이터베이스에 대한 거래를 시도한 것으로 확인됐다.
조사 결과 KS한국고용은 해당 개인정보처리시스템으로 일반 인사관리 기능과 콜센터 운영 관련 기능을 함께 운영하면서 접속 권한을 아이피(IP) 등으로 제한하지 않았다. 안전한 접속수단 또는 인증수단을 적용하지 않아 아이디·비밀번호만으로 외부에서 제한 없이 접속할 수 있었던 사실도 확인됐다. 인사 증빙 서류 내 주민등록번호를 마스킹 또는 암호화 조치 없이 저장하는 등 안전조치 의무를 다수 위반했다.
입사지원자가 최종 합격해 직원이 되기 전까지는 주민등록번호를 처리할 수 없음에도 법적 처리 근거 없이 일부 입사지원자의 주민등록번호를 수집·처리했다. 보유기간이 지난 퇴사자와 교육생 2천35명의 개인정보를 파기하지 않은 사실도 확인됐다.
개인정보위는 KS한국고용에 과징금 35억3천700만 원, 과태료 420만 원을 부과했다. 개인정보처리시스템에 대한 접속기록과 개인정보 다운로드 상황을 주기적으로 점검하고, 개인정보 파기에 관한 지침을 수립·운영하라고 명령했다. 또 처분 사실을 운영 중인 홈페이지에 공표하라고 했다.
재단법인 금릉공원묘원에서도 해커에 의해 이용자 5천373명의 개인정보가 유출된 사실을 개인정보위가 확인했다.
해커는 금릉공원묘원 웹사이트 내 관리비 '조회·납부' 페이지의 변조 취약점을 악용해 이용자 5천여 명의 이름, 주민등록번호, 휴대 전화번호를 유출했다.
개인정보위 조사 결과 금릉공원묘원은 웹사이트의 파라미터 변조 취약점에 대한 점검·조치를 소홀히 했다. 인터넷망으로 개인정보 전송 시 암호화 통신 미적용, 주민등록번호 평문 보관 등 보호조치 의무를 위반한 사실도 확인됐다.
별도 법적 근거 없이 이용자의 주민등록번호를 신원 확인을 위해 관성적으로 수집해 온 사실도 확인됐다.
이에 따라 개인정보위는 금릉공원묘원에 과징금 5천420만 원을 부과했다. 유출 사고가 재발하지 않도록 개인정보처리시스템에 대한 취약점 점검, 암호화 등 개인정보 안전관리 체계를 강화할 것을 명령하고, 처분 사실을 홈페이지에 공표하라고 했다.
개인정보위는 "2014년 8월 주민등록번호 수집 법정주의 시행 이후 주민등록번호는 법령에 명시적 근거가 있는 경우에만 제한적으로 수집·이용이 가능하도록 규정하고 있다"며 "사업자는 주민등록번호를 처리하는 경우 적법한 처리 근거가 있는지, 암호화 저장 등 안전 조치를 적절히 이행하고 있는지 점검하라"고 당부했다.
dindong@yna.co.kr
Copyright 연합뉴스 All rights reserved. 무단 전재 및 재배포 금지.
인기상품 확인하고 계속 읽어보세요!
원치 않을 경우 뒤로가기를 눌러주세요.