"삶이 털렸다"…730만 취준생 개인정보유출에 과징금 4억 작성일 10-23 50 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">인크루트, 이름·성별·전화번호·경력 등 털려 <br>회원 9만명 정보유출 한양·서울CC도 과징금 2억</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="4k8BP85TvH"> <figure class="figure_frm origin_fig" contents-hash="f1f3b1c77a85e6384a3f9d664972f8586650fa4d8e2852793fea4053e65f343e" dmcf-pid="8E6bQ61yTG" dmcf-ptype="figure"> <p class="link_figure"><img alt="송경희 개인정보보호위원회 위원장이 지난 22일 서울 종로구 정부서울청사에서 개최된 제22회 전체회의를 진행하고 있다./사진=개인정보보호위원회 제공" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/23/BUSINESSWATCH/20251023151626657bnja.jpg" data-org-width="650" dmcf-mid="fn2XupIkhX" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/23/BUSINESSWATCH/20251023151626657bnja.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 송경희 개인정보보호위원회 위원장이 지난 22일 서울 종로구 정부서울청사에서 개최된 제22회 전체회의를 진행하고 있다./사진=개인정보보호위원회 제공 </figcaption> </figure> <p contents-hash="76f5d1fb17d03ef890bfdca6fe92017f0d6adccebef0674b0ba0c1244d212842" dmcf-pid="6XkLDk8BWY" dmcf-ptype="general">온라인 취업 포털 '인크루트'가 730만명에 달하는 회원 개인정보가 모조리 털렸는데 과징금 4억6300만원 처분을 받았다. 유출 규모나 중대성을 고려하면 처벌 수위가 낮다는 평가도 나온다. 개인정보보호위원회는 반복적으로 유출사고가 반복되는 기업 등 개인정보보호에 현저히 소홀한 기업에 대해 징벌적 과징금을 부과하는 개선안을 내놓을 계획이다.</p> <p contents-hash="6a5cb11fd838bd9029c3bfede1c0d73a9a7294e9ae81eca9bb99e768a38f2cf0" dmcf-pid="PZEowE6bSW" dmcf-ptype="general"><strong>이름·성별·휴대전화번호에 이력서·자소서도 유출</strong></p> <p contents-hash="59318eb8b1c5ad8eb5854f45804792ff59a1ba40fec969df39aec3b46cc8d4ae" dmcf-pid="Q5DgrDPKWy" dmcf-ptype="general">개인정보위는 지난 22일 제22회 전체회의를 열고 개인정보 보호 법규를 위반한 '인크루트'에 대해 4억6300만원의 과징금을 부과하고, 전문 개인정보보호책임자(CPO) 신규 지정, 정보주체에 대한 피해회복 지원 등 재발방지를 위한 시정조치(안)을 의결했다.</p> <p contents-hash="0dcf0d381e245521d2f0fb01b8f02029d2e17a509e3bb4fe35c70d1064182d47" dmcf-pid="x1wamwQ9ST" dmcf-ptype="general">인크루트는 지난 2월 해킹으로 인해 전체회원 730여만명의 개인정보가 유출되는 사고가 발생했다. 개인정보위 조사 결과 인크루트는 개인정보 보호법에 따른 안전조치 의무를 소홀히 한 것으로 확인됐다. 게다가 인크루트는 개인정보 유출로 2023년 7월에도 개인정보위 제재처분을 받은 바 있는데 또 문제가 발생했다.</p> <p contents-hash="0ea1121b29d3761d302056adb81043c52f1b651e333454a305b1051d3506b81f" dmcf-pid="yLB3KBTsWv" dmcf-ptype="general">개인정보위 조사에 따르면 신원미상의 해커는 지난 1월 인터넷망에 접속한 인크루트 직원(개인정보취급자)의 업무용 PC에 악성코드를 감염시켰다. 이후 해커는 개인정보취급자의 데이터베이스(DB) 접속계정을 탈취해 내부시스템에 침투, 전체회원 727만5843명의 개인정보를 유출했다. 유출된 개인정보는 이름과 성별, 휴대전화번호, 학력, 경력, 사진, 장애·병역·고용지원금 대상여부 등 18개 항목에 달한다.</p> <p contents-hash="dda451407a953e838751d97b00defcb55bbbd26461304aec573d3829d2dad15a" dmcf-pid="Wob09byOWS" dmcf-ptype="general">또한 이력서·자기소개서·자격증사본 등 회원 개인저장파일 5만4475건 등 총 438기가바이트(GB)에 달하는 취업 관련 정보가 1달여에 걸쳐 유출됐다. 업무시간 외 비정상적인 DB 접속기록이 존재했고, 내부자료를 외부로 유출하면서 비정상적인 대용량 트래픽이 발생했음에도 인크루트는 이상행위에 대한 대응이 소홀했다. 약 2달이 지난 후 해커의 협박메일을 수신하고 나서야 유출사실을 인지했다.</p> <p contents-hash="c44883d8b4734dfcdf9a4d22bd2572ecbc94512ff5e4baf510bd1a8dcd8460bf" dmcf-pid="YgKp2KWICl" dmcf-ptype="general">아울러 민감정보를 포함한 다량의 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터에 대한 인터넷망 차단조치를 하지 않은 사실도 확인됐다.</p> <p contents-hash="6d8979f35fb0c0cf0d21581b51954d7f0b419f3c02b581fa053fb20b34d558bb" dmcf-pid="Ga9UV9YCTh" dmcf-ptype="general">개인정보위 관계자는 "구직 사이트 특성상 취업준비생의 개인정보뿐만 아니라 학력, 경력, 장애여부, 병역사항 등 한 사람의 삶과 경력이 집약된 정보를 광범위하게 보유했음에도 안전조치 의무가 소홀했다는 점에서 매우 중대하게 판단했다"며 "특히 이전에도 유출사고가 발생했는데 또 대규모 유출이 발생한 점을 엄중히 인식하고 현행 법 적용이 가능한 범위 내에서 엄정한 처분이 이루어졌다"고 했다. </p> <p contents-hash="3f7b21c8118d976dbb27a7f04c5a2b4e2ab8b3cf9f254ccf4a1d516a7a431244" dmcf-pid="HN2uf2GhvC" dmcf-ptype="general">이처럼 중대한 사고를 반복한 경우이지만 처벌 수위가 낮다는 지적도 충분히 가능하다. 이번 과징금 규모는 전체 매출의 3%까지 과징금을 부과할 수 있는 현행법과 각종 경감안이 반영된 것으로 보인다. 인크루트의 지난해 연결 기준 매출은 343억원이다. 개인정보위는 "유출사고가 반복되는 기업 등 개인정보보호에 현저히 소홀한 기업에 대해서는 징벌적 효과를 갖는 과징금 제도 개선안을 마련하고 있다"며 "이를 통해 제재의 실효성을 보다 강화할 계획"이라고 전했다.</p> <p contents-hash="da43bcaee3817fdacf3345e377ca7a0e0c567680fce9c25666d0cc700e780a96" dmcf-pid="XjV74VHlyI" dmcf-ptype="general"><strong>골프장도 해킹…도박 사이트 연결되는 스팸문자 발송돼</strong></p> <p contents-hash="c50d3fd9594d6aebf985e145428e46a8eddb68c55d39dc30365412a545b85c89" dmcf-pid="Zrx2Rx3GWO" dmcf-ptype="general">이날 개인정보위는 9만명에 달하는 회원 정보를 해킹 당한 한양컨트리클럽(한양CC)·서울컨트리클럽(서울CC)에 대해선 총 2억110만원의 과징금과 2220만원의 과태료를 부과하고, 시정명령·공표명령 및 개선권고를 의결했다. 앞서 골프장을 운영하는 서울CC와 한양CC는 2023년 12월 골프장 회원으로부터 스팸문자를 수신했다는 민원 전화를 받고서야 개인정보 유출 사실을 인지했다.</p> <p contents-hash="74d662b1455891af44be5cc9b12fa6c04ab4b37630e8d5704615a9a6c71b24ae" dmcf-pid="5mMVeM0HSs" dmcf-ptype="general">개인정보위 조사결과, 해커는 사전에 획득한 관리자 계정정보로 한양CC 홈페이지에 로그인해 총 8만7923명(서울CC7만166명, 한양CC 1만7757명)의 회원들에게 스팸문자를 발송했다. 사고 당시 서울CC는 한양CC에 회원정보 처리를 위탁하고 있었는데, 한양CC가 같은 시스템으로 골프장 회원정보를 관리하다 보니 서울CC 회원에게도 도박 사이트로 연결되는 스팸문자가 발송된 것이다.</p> <p contents-hash="a5b406556af985cc02f5cf4d8e70723dbf6caa04d4ed65597ecd1f5a39ebd480" dmcf-pid="1sRfdRpXWm" dmcf-ptype="general">한양CC는 위·수탁 계약을 통해 자사뿐 아니라 서울CC의 홈페이지와 골프장 운영시스템을 운영하면서 업체 구분 없이 동일 웹서버, 데이터베이스, 관리자 계정을 사용해 관리하고 있었다.</p> <p contents-hash="f31706d2a7b38c07e649e4ba8519ba7d81f3811de757ac5be91eed23f9197a24" dmcf-pid="tOe4JeUZyr" dmcf-ptype="general">개인정보위는 서울CC와 한양CC의 개인정보를 모두 처리하는 한양CC가 보호법에서 규정한 안전조치를 소홀히 하였다고 판단했다. 실제 한양CC와 서울CC가 체결한 위·수탁 계약서에는 개인정보 처리업무 위탁 범위와 안전조치 등 세부 내용이 포함되지 않았다.</p> <p contents-hash="f85ed0300771d40c4c41a30f190df063f1eb5ace81f916c45fc518770f19771e" dmcf-pid="FId8idu5Ww" dmcf-ptype="general">또한 서울CC의 개인정보 처리방침은 개인정보 처리 수탁자로 한양CC가 아닌 골프장 운영시스템을 유지보수하는 IT(정보기술)업체를 명시하는 등 부정확한 정보를 담고 있었다. 이러한 점을 고려할 때 개인정보위는 서울CC가 개인정보 처리업무 위탁에 필요한 사항을 준수하지 않았다는 판단이다.</p> <p contents-hash="9487f59949749f4fcd4556e17d2f262dac27449164e655f4617be839c45f9965" dmcf-pid="3CJ6nJ71TD" dmcf-ptype="general">아울러 개인정보위는 서울CC와 한양CC 모두 골프장 회원권 양도·양수에 따른 명의개서(주주교체시 취득자를 주주명부에 기재하는 행위) 명세서를 세무서에 제출하기 위해 수집한 회원 주민등록번호 등을 목적 달성 이후에도 파기하지 않고 보관해 보호법을 위반한 사실도 확인했다.</p> <p contents-hash="c3dad16c7d49d21c46f08edc8c2363571167858d727d9fb17ab29927f974d6f6" dmcf-pid="0hiPLiztWE" dmcf-ptype="general">이에 따라 개인정보위는 수탁자인 한양CC에는 과징금 1억4800만원과 과태료 1230만원을 부과하고, 개인정보 처리방침에 개인정보 흐름을 명확히 할 것과 데이터베이스 접근권한을 처리자별로 분리하는 등의 개선을 권고했다.</p> <p contents-hash="324dab8e47acdfb5ac15cdbdadaa277a8d7c9aac3c488acb5d22fdf2273762e9" dmcf-pid="plnQonqFlk" dmcf-ptype="general">위탁자인 서울CC에는 과징금 5310만원, 과태료 990만원을 부과하고, 홈페이지 등에 수탁자를 구체적으로 명시·공개할 것과 수탁자에 대한 처리 현황 점검 등 관리·감독을 충실히 하도록 시정 명령했다. </p> <p contents-hash="9bb6d93215b8a2f49b352f172dab4de4c0fb143f232d97aa2e5535399c16f6d8" dmcf-pid="USLxgLB3Sc" dmcf-ptype="general">김동훈 (99re@bizwatch.co.kr)</p> <p contents-hash="44799752104a56c49b916fc8c3ce050f5533466c47663d2c9b6757f6c769836a" dmcf-pid="uvoMaob0WA" dmcf-ptype="general">ⓒ비즈니스워치의 소중한 저작물입니다. 무단전재와 재배포를 금합니다.</p> </section> </div> <p class="" data-translation="true">Copyright © 비즈워치. 무단전재 및 재배포 금지.</p> 관련자료 이전 빅스터 '밍글패스', 축제·전시·대학 행사에 NFT 스마트 티켓, 멤버십 쿠폰 실증 적용 10-23 다음 크레버스·MS ‘HUMMINGo’ 글로벌 성장 전략 논의 10-23 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
