- 개인정보위 의결…해커가 시스템에 2천만번 접속할 동안 눈치 못채
한국사회복지협의회 관련 사건 개요 [ⓒ개인정보보호위원회] |
135만명의 개인정보를 유출한 한국사회복지협의회에 대해 과징금 4억8천여만원이 부과됐다.
개인정보보호위원회는 25일 제16회 전체회의에서 이런 내용을 의결했다고 26일 밝혔다.
개인정보위에 따르면 지난 1월 한국사회복지협의회는 해킹으로 인해 '사회복지 자원봉사 정보관리시스템(VMS)' 홈페이지 데이터베이스에 보관된 회원 135만명의 개인정보를 유출했다.
이 과정에서 외부로 흘러 나간 개인정보는 아이디(ID), 이름, 이메일, 생년월일, 성별, 주소, 연락처, 직업, 학교 정보, 자격증 보유 여부 등 1천300만건에 달했다.
조사 결과 한국사회복지협의회는 비밀번호 등 주요 데이터의 변경을 요청한 자와 변경 대상자가 일치하는지를 확인하지 않았다.
이 때문에 제삼자도 비밀번호를 바꿀 수 있는 허점이 발생했고, 소스 코드에 대한 점검도 소홀히 한 것이 드러났다.
또한 해커가 ID 존재 여부 확인이나 비밀번호 일괄 변경, 개인정보 조회를 위해 시스템 홈페이지에 2천만번 넘게 접속했으나, 개인정보 유출 시도를 탐지하지조차 못했다.
이밖에 정보주체가 주민등록번호를 입력해야만 회원가입을 할 수 있도록 홈페이지를 운영하면서 주민등록번호를 대체할 수 있는 수단을 제공하지 않은 점도 확인됐다.
이에 따라 개인정보위는 한국사회복지협의회에 대해 개인정보보호법의 안전조치의무 위반을 근거로 과징금 4억8천300만원을 부과하기로 결정했다. 아울러 주민등록번호 대체 수단을 제공하지 않은 행위에 대해 과태료 540만원도 부과했다.
시스템 홈페이지 전반에 걸친 개인정보 보호 실태 점검·개선과 개인정보취급자에 대한 정기적인 개인정보 보호 교육도 실시하라고 권고했다.
유출 사고에 책임이 있는 자에 대해서는 징계를 권고하고, 처분 사실을 2∼5일 동안 기관 홈페이지에 알리도록 명령했다.
개인정보위는 주무 부처인 보건복지부에 한국사회복지협의회의 처분 사실을 알리고, 개인정보 보호 수준 향상과 유출 사고 예방을 위해 산하 공공기관에 대한 관리·감독 및 지원을 철저히 하라고 요청할 계획이다.
김희라 기자 heera2939@naver.com