VIEW

국내 최대 비즈니스 아웃소싱(BPO) 기업인 케이에스한국고용정보(이하 KS한국고용)가 개인정보 유출 사고로 개인정보보호위원회로부터 35억원이 넘는 과징금을 부과 받았다. 홈페이지 관리를 소홀히 해 주민등록번호와 계좌번호 등 민감 정보가 대거 유출됐기 때문이다.

개인정보위는 지난 22일 제7회 전체회의를 열어 개인정보 보호 법규를 위반한 KS한국고용에 대해 과징금 35억3700만원과 과태료 42만원을 부과하고, 시정 조치 및 공표 명령을 의결했다고 23일 밝혔다.


개인정보위 조사 결과, 해커는 KS한국고용의 개인정보처리시스템 관리자 계정정보를 획득한 후 지난해 4월 관리자 페이지에 접속해 상담사, 본사직원 및 입사지원자(교육생) 등 4만875명의 개인정보를 빼돌렸다. 여기엔 이름, 주민등록번호, 휴대전화번호, 주소, 이메일, 계좌번호 등이 담겨있었다.

이 과정에서 해커는 또 웹페이지의 취약점을 이용해 서버 내 각종 인사서류 파일 약 5만 건을 내려받아 유출했다. 해당 서류에는 KS한국고용의 상담사·직원 등이 입사·재직중 제출한 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등으로 본인 정보뿐만 아니라 가족의 개인정보가 다수 포함돼 있었던 것으로 드러났다.

개인정보위 관계자는 “KS한국고용의 웹페이지는 파일 다운로드 시 파일의 경로와 파일명을 파라미터로 받아 처리하면서 입력값에 대한 검증을 하지 않아, 공격자가 값을 조작해 파일을 다운로드할 수 있는 취약점이 있었다”면서 “특히 해커는 유출 정보를 다크웹에 게시하고 보유한 데이터베이스에 대한 거래를 시도한 것으로 확인됐다”고 말했다.

또 개인정보위 조사 결과, KS한국고용은 해당 처리시스템으로 일반 인사관리 기능과 콜센터 운영 관련 기능을 함께 운영하면서 접속 권한을 아이피(IP) 등으로 제한하지 않았고, 안전한 접속수단 또는 인증수단을 적용하지 않아 아이디·비밀번호만으로 외부에서 제한 없이 접속이 가능했던 사실이 확인됐다. 이 외에도 인사증빙 서류 내 주민등록번호를 마스킹 또는 암호화 조치 없이 저장하는 등 안전조치 의무를 다수 위반했다.

개인정보위 관계자는 “입사지원자가 최종 합격해 직원이 되기 전까지는 주민등록번호를 처리할 수 없음에도 법적 처리 근거 없이 일부 입사지원자의 주민등록번호를 수집·처리했다”면서 “또한 보유기간이 경과한 퇴사자와 교육생 2035명의 개인정보를 파기하지 않은 사실도 확인했다”고 밝혔다.

이에 따라 개인정보위는 KS한국고용에 과징금 및 과태료를 부과하는 한편, 관련 문제점에 대한 시정과 함께 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.

한편 금릉공원묘원도 과징금 5420만원을 부과 받았다.

개인정보위 조사 결과, 해커는 금릉공원묘원이 운영하는 웹사이트 내 관리비 조회·납부 페이지에 존재하는 파라미터 변조 취약점을 악용해 이용자 5373명의 개인정보(이름·주민등록번호·휴대전화번호)를 빼돌렸다.

개인정보위 관계자는 “금릉공원묘원은 웹사이트 내 존재하는 파라미터 변조 취약점에 대한 점검·조치를 소홀히 했고, 인터넷망으로 개인정보 전송 시 암호화 통신 미적용, 주민등록번호 평문 보관 등 보호조치 의무를 위반한 사실을 확인했다”면서 “또한 별도 법적 근거 없이 이용자의 주민등록번호를 신원 확인 목적으로 관성적으로 수집해 온 사실도 드러났다”고 지적했다.

▶ “이재용이 오디오회사 왜 샀지?” 싶었는데…첨단전장사업 핵심됐다

▶ 40여 년 무대 지킨 배우 이남희 별세…향년 64세

▶ “집값 오르는데 박탈감만 드네요”…투자자 절반, 코스피 최고치에도 웃지 못해

▶ [단독] 韓선사 관련 유조선 2척…‘호르무즈 해협’ 진입 성공

▶ “허리띠 바짝 졸라맨다”…물가 뛰고 경기는 둔화, 서민들 지갑 닫는다

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]