개인정보위, 안전조치 및 수탁자 감독 의무 위반한 5개 기관·업체 제재

개인정보위, 안전조치 및 수탁자 감독 의무 위반한 5개 기관·업체 제재

• 행정안전부('24.4.~'25.5.), 농촌진흥청('25.4.) 등 5개 기관·업체에 과징금 5억 4,660만 원 및 과태료 1,200만 원 부과 등 의결
• 정보시스템 구축 및 유지·관리 중 안전조치의무는 공공기관 부담이 원칙이나,수탁자에게 고유 과실이 있는 경우 수탁자도 제재 처분 가능

개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 5월 27일(수) 제10회 전체회의를 열고, ｢개인정보 보호법｣(이하 '보호법')을 위반한 4개 공공기관과 수탁업체 1곳*에 대한 처분을 의결하였다.
* ①행정안전부(2건), ②농촌진흥청, ③국립농업과학원, ④국립축산과학원, ⑤㈜미소테크(수탁업체)
행정안전부 : 과징금 2억 7,300만 원 및 과태료 750만 원 부과, 시정권고, 공표, 공표명령

《사실관계》
행정안전부는 통합행정 서비스 포털인 정부24를 운영하고 있는 데, '24년4월 정부24를 통해 발급받을 수 있는 교육부 NEIS 연계 민원서류 및 국세청 납세증명서 관련 소스코드 개발 오류로 1,233명의 개인정보가 타인에게 공개되는 등 유출되었다.

또한, '25년5월 정부24 홈페이지에서 제공하는 주민등록증 발급상황 조회 서비스에 존재하는 인증 취약점 때문에 주민등록증 발급상황 4건(사망자 1인 포함)이 타인에게 조회되었다. 한편, 공유누리 홈페이지 '업무게시판'에 게시된 "공공주차장 담당자" 파일이 구글검색에 노출되었다.

※ (유출항목) ①NEIS – 생활기록부, 졸업증명서 등 6종 / 성명, 생년월일(또는 주민등록번호), 학교정보(646명)②납세증명서 – 법인 대표자 성명 및 주민등록번호(587명)③주민등록증 발급상황 – 발급신청일 및 처리 여부(3명 / 이름, 주민등록번호를 입력하여 조회)④공유누리 '업무게시판' - 이름, 전화번호, 이메일주소, 소속기관정보(3,828명)

《위반 내용 및 처분 결과》
행정안전부는 정부24를 운영하면서 국세 납세증명서 서식 변경을 위해 개발한 소스코드와 관련하여 '개인 발급'에 대해서만 테스트하고 '법인 발급' 테스트는 누락하는 등 점검을 소홀히 하였다. 또한 '주민등록증 발급 상황' 조회 서비스에 사용된 본인인증 모듈의 취약점을 발견·조치하지 않았다.

더불어 교육부 NEIS 연계 민원 관련 유출 사실을 인지('24.4.1)하였으나 정당한 사유없이 72시간을 경과하여 통지('24.4.11.~4. 22.)하고, 개인정보처리방침에 위탁업무와 수탁자를 공개하면서 수탁업체인 메타빌드㈜를 누락('23.9.18.~'24.5.1.)한 사실도 확인하였다.

이에 개인정보위는 행정안전부에 과징금 2억 7,300만 원과 과태료 300만 원을 부과하고, 프로그램 개발 관련 사전검토 강화에 대한 시정권고, 처분 결과의 공표 및 공표명령을 의결하였다.
또한, 공유누리 홈페이지에 '업무 게시판'을 내부용으로 구축·운영하면서 접근권한 검증 등 접근통제 미조치에 대해 과태료 450만 원 부과와 공표를 의결하였다.

농촌진흥청, 국립농업과학원, 국립축산과학원, ㈜미소테크(수탁업체) : 과징금 2억 7,360만 원 및 과태료 450만 원 부과, 시정권고, 공표, 공표명령

《사실관계》
'25.4.7. 농촌진흥청 및 소속기관으로부터 시스템 유지·관리 등을 위탁받은 ㈜미소테크의 네트워크 저장장치(이하 'NAS')에 저장된 개인정보를 신원 미상의 해커가 탈취하여 다크웹에 게시하였다. 해당 NAS에는 개인정보* 57만 5천여 건(중복 포함)이 포함되어 있었다.
* (유출항목) 이름, 주소, 연락처, 이메일주소, 직장정보, 과학기술인번호, 농장정보 등

조사 결과, 수탁업체인 ㈜미소테크는 위탁받은 개인정보를 자체 NAS에 무단으로 보관('20.5.~'25.4.)하였고, 해당 NAS를 외부 IP로 접근 가능한 상태로 운영('17.6.~'25.4.)하면서, 관리자 계정의 아이디와 비밀번호만으로 접근이 가능하도록 설정하는 등 접근통제에 필요한 조치를 미흡하게 한 사실을 확인하였다.

아울러, 위탁자인 농촌진흥청 등도 용역사업 종료 시 수탁업체인 ㈜미소테크로부터 "자료미보유확약서"만 수령하고 노트북·외장하드 등에서 개인정보가 파기되었는지 여부는 점검·확인하지 않았다. 또한 수탁업체의 개인정보 보유 현황, 업무처리 환경 등을 파악·통제하지 못하는 등 수탁자 관리·감독에 소홀한 사실을 확인하였다.

《위반 내용 및 처분 결과》
개인정보위는 안전조치의무를 위반하여 개인정보를 유출한 ㈜미소테크에 과징금 8,250만 원, 과태료 450만 원을 부과 및 공표명령을 의결하였다.
이와 더불어 수탁자 관리·감독 의무를 위반한 농촌진흥청에는 과징금 1억 6,800만 원 부과와 시정권고, 공표 및 공표명령을, 국립농업과학원에는 과징금 2,310만 원 부과와 시정명령 및 공표를, 국립축산과학원에는 舊 보호법에 따른 시정명령을 의결하였다.

이번 조사·처분의 의의

이번 처분은 공공기관 정보화사업 과정에서 발생한 개인정보 유출 사고의 책임을 보다 구체적으로 확립하였다는 점에 의의가 있다.

우선, 소스코드 개발 오류, 보안 취약점 미조치 등 처리시스템의 안전성 확보 실패로 유출이 발생한 경우, 해당 시스템에 대한 최종 책임 주체인 공공기관에게 보호법 상 안전조치의무 위반 책임이 있음을 명확히 하였다. 아울러 수탁자도 안전조치의무 위반 책임을 물을 수 있다는 판단 기준을 제시하였다.

개인정보위는 앞으로도 공공부문 정보화사업 과정에서 발생할 수 있는 개인정보 보호 취약요인을 지속적으로 점검하고, 위·수탁 구조에서 발생하는 관리 공백이 최소화될 수 있도록 공공기관들에 처분 사례를 공유하고, 현장 중심의 관리·감독 강화를 유도해 나갈 계획이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

• 담당자 : 조사총괄과 나일청(02-2100-3162)