개인정보위, 안전조치 의무 위반 3개 사업자 제재

개인정보위, 안전조치 의무 위반 3개 사업자 제재

• 40만명 이상의 '듀오정보' 회원정보 유출에 대해선 즉각 유출 통지 명령
• 대량의 민감한 정보 수집하는 처리자 대상 개인정보 처리방침 평가, 기획점검 등 통해 개인정보 처리 실태 지속 개선 계획

개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 4월 22일(수) 제7회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자*에 대해 총 47억 8,820만 원의 과징금 및 1,740만 원의 과태료를 부과하고, 시정조치 및 공표 명령을 의결하였다.

* ①㈜케이에스한국고용정보(기업 대상 콜센터·텔레마케팅 아웃소싱 서비스 제공), ②듀오정보 주식회사(결혼중개서비스 제공), ③(재)금릉공원묘원(묘지 임대·관리 서비스 제공)

이들 사업자는 모두 개인정보처리시스템에 대한 안전조치를 소홀히 하여 개인정보가 유출되었고, 법적 근거없이 주민등록번호를 처리하였다. 사업자별 구체적인 위반 내용과 처분 결과는 다음과 같다.

< ㈜케이에스한국고용정보: 과징금 35억 3,700만 원과 과태료 420만 원 부과 및 시정명령, 공표명령 >

신원 미상의 자(이하 '해커')가 ㈜케이에스한국고용정보(이하 'KS한국고용')의 개인정보처리시스템 관리자 계정정보를 획득한 후 '25. 4. 15. 관리자 페이지에 접속하여, 상담사, 본사직원 및 입사지원자(교육생) 등 40,875명의 개인정보*를 내려받아 유출하였다.

* 이름, 주민등록번호, 휴대전화번호, 주소, 이메일, 계좌번호 등
이어서, 해커는 웹페이지의 취약점*을 이용해 서버 내 각종 인사서류 파일 약 5만 건을 내려받아 유출하였다. 해당 서류는 KS한국고용의 상담사·직원 등이 입사·재직중 제출한 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등으로 본인의 정보뿐만 아니라 가족의 개인정보가 다수 포함되어 있었다. 이후 해커는 유출 정보를 다크웹에 게시하고 보유한 데이터베이스에 대한 거래를 시도한 것으로 확인되었다.

* 파일 다운로드 시 파일의 경로 및 파일명을 파라미터로 받아 처리하면서 입력값에 대한 검증을 하지 않아, 공격자가 값을 조작하여 파일을 다운로드할 수 있는 취약점

조사 결과, KS한국고용은 해당 처리시스템으로 일반 인사관리 기능과 콜센터 운영 관련 기능을 함께 운영하면서 접속 권한을 아이피(IP) 등으로 제한하지 않았고, 안전한 접속수단 또는 인증수단을 적용하지 않아 아이디·비밀번호 만으로 외부에서 제한 없이 접속이 가능했던 사실이 확인되었다. 이 외에도, 인사증빙 서류 내 주민등록번호를 마스킹 또는 암호화 조치 없이 저장하는 등 안전조치 의무를 다수 위반하였다.

또한, 입사지원자가 최종 합격하여 직원이 되기 전까지는 주민등록번호를 처리할 수 없음에도 법적 처리 근거 없이 일부 입사지원자의 주민등록번호를 수집·처리하였다. 또한, 보유기간이 경과한 퇴사자 및 교육생 2,035명의 개인정보를 파기하지 않은 사실도 확인하였다.

이에 따라 개인정보위는 KS한국고용에 과징금 35억 3,700만 원, 과태료 420만 원을 부과하고, 개인정보처리시스템에 대한 접속기록 및 개인정보 다운로드 상황 주기적 점검, 개인정보 파기에 관한 지침을 수립·운영할 것을 명령하는 한편, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령하였다.

※ 위반행위가 발생한 시스템은 상담사 정보와 고객정보, 상담과정의 민원정보 등을 결합하여 저장·관리하고 있고, 상기 시스템이 상담용역 서비스 제공에 직·간접적으로 이용되고 있어 상담용역 매출액 기준으로 과징금 산정
`< 듀오정보: 과징금 11억 9,700만 원, 과태료 1,320만 원 부과 및 시정명령, 공표명령 >

해커는 '25.1월 인터넷망에 접속한 듀오정보 직원(개인정보취급자) 업무용PC에 악성코드를 감염시켰고, DB서버 계정 정보 확보 후 회원 데이터베이스(DB) 서버에 접속하여 전체 정회원 427,464명의 개인정보*를 내려받아 외부로 유출하였다.

* 아이디, 비밀번호(암호화), 이름, 생년월일, 주민등록번호(암호화), 성별, 이메일주소, 휴대폰번호, 본인주소, 신장, 체중, 혈액형, 종교, 취미, 혼인경력(초혼/재혼), 형제관계, 장남/장녀 여부, 학교명, 전공, 입학년도, 졸업년도, 학교소재지, 입사년월, 직장명 등

조사 결과, 듀오정보는 정회원의 개인정보가 저장되어 있는 회원DB에 접속하는 경우, 일정 횟수 이상 인증 실패 시 접근제한 등의 조치를 설정하지 않았고, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보조치 의무 위반이 확인되었다.

또한, 정회원 가입 시 주민등록번호를 별도 법적 근거 없이 수집·저장하였으며, 개인정보처리방침에 기재한 보유기간(5년)이 경과된 정회원 정보 298,566건을 파기하지 않은 사실도 확인하였다.

듀오정보는 유출을 확인하였음에도 정당한 사유 없이 72시간을 경과하여 유출신고를 지연하였고, 결혼중개회사의 특성상 구혼자의 기본적인 개인정보뿐만 아니라 학력, 종교, 직장 등 한 사람의 삶과 성향이 담긴 다량의 민감한 정보를 수집하고 있으며, 해당정보가 유출되었음에도 유출사실을 정보주체에게 현재까지도 통지하지 않는 등 2차 피해 방지 대응에 소홀한 것이 확인되었다.

이에 따라 개인정보위는 듀오정보에 과징금 11억 9,700만 원, 과태료 1,320만 원을 부과하였다. 또한, 개별 정보주체에게 개인정보 보호법 제34조제1항에 따른 유출통지를 즉각 실시할 것과 유출사고 재발 방지를 위한 안전조치 강화, 서비스 제공에 필요 최소한의 정보를 수집하도록 개인정보 처리 방식 점검 및 명확한 파기 지침 수립 등 전반적인 개인정보 보호 및 관리 체계를 강화할 것을 명령하고, 처분받은 사실을 운영 중인 홈페이지에 공표하도록 하였다.

< (재)금릉공원묘원: 과징금 5,420만 원 부과 및 시정명령, 공표명령 >

해커가 (재)금릉공원묘원이 운영하는 웹사이트 내 관리비 조회/납부 페이지에 존재하는 파라미터 변조 취약점*을 악용하여 이용자 5,373명의 개인정보(이름, 주민등록번호, 휴대전화번호)를 유출하였다.

* 웹페이지에서 입력받는 파라미터값을 공란으로 설정하여 전송하는 경우, 전체 개인정보가 출력되는 취약점이 존재하였고, 정보주체별 유출된 개인정보 항목은 상이

조사 결과, (재)금릉공원묘원은 웹사이트 내 존재하는 파라미터 변조 취약점에 대한 점검·조치를 소홀히 하였고, 인터넷망으로 개인정보 전송 시 암호화 통신 미적용, 주민등록번호 평문 보관 등 보호조치 의무를 위반한 사실을 확인하였다.

아울러, 별도 법적 근거 없이 이용자의 주민등록번호를 신원 확인 목적으로 관성적으로 수집해 온 사실도 확인하였다.

이에 따라 개인정보위는 (재)금릉공원묘원에게 과징금 5,420만 원을 부과하고, 유출사고가 재발하지 않도록 개인정보처리시스템에 대한 취약점 점검, 암호화 등 개인정보 안전관리 체계를 강화할 것을 시정명령하고, 처분받은 사실을 운영 중인 홈페이지에 공표하도록 하였다.

< 이번 조사·처분의 의의 >

'14.8월 주민등록번호 수집 법정주의 시행 이후 주민등록번호는 법령에 명시적 근거가 있는 경우에만 제한적으로 수집·이용이 가능하도록 규정하고 있다. 그러나 과거의 수집 관행에 따라 주민등록번호를 계속 수집하거나 사업자 편의에 따라 수집 허용 시점 이전부터 일괄적으로 주민등록번호를 수집하고 있는 사례가 자주 발생하고 있다. 이에 따라 개인정보위는 사업자들이 주민등록번호를 처리하는 경우 적법한 처리 근거가 있는지, 암호화 저장 등 안전조치를 적절히 이행하고 있는지에 대한 체계적인 점검을 당부하였다.

또한, 사업자가 서비스 제공에 필요 최소한의 개인정보만을 수집·이용하는 환경 조성을 위해 개인정보위는 결혼중개, 채용 서비스 등 정보주체로부터 대량의 민감한 정보를 수집하는 처리자를 대상으로 개인정보 처리방침 평가, 기획점검 등을 통해 개인정보 수집·이용 적절성 및 정보주체의 권리 보호 수준을 평가하고 개선해 나갈 방침이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

• 담당자 : 조사2과 조근환, 최홍석, 이다연(02-2100-3124, 3129, 3126)