개인정보보호위원회가 개인정보 보호법규를 위반한 대우세계경영연구회와 하나로의료재단에 총 6625만원 과징금과 과태료를 부과했다. 이들 사업자는 회원과 건강검진 대상자 주민등록번호를 유출한 것으로 확인됐다.
개인정보위는 10일 제4회 전체회의를 열고 이들 사업자에 대한 제재 처분을 의결했다.
대우세계경영연구회는 한국인터넷진흥원(KISA) 점검 과정에서 누구나 홈페이지를 통해 회원 개인정보를 내려받을 수 있다는 사실이 발견됐고, 하나로의료재단은 외부기관 개인정보 탐지도구에서 주민등록번호가 검출됐다. 이들 사업자는 KISA 통보를 받고서야 유출 사실을 확인, 당국에 신고했다.
대우세계경영연구회는 연구와 자문, 전문 인력 양성 지원, 평생교육 시설 등 사업을 운영하는 사단법인이다. 회원 개인정보를 조회하고 다운로드할 수 있는 웹페이지에 접근 통제를 하지 않아 권한이 없는 자가 회원 정보를 내려받은 것으로 밝혀졌다. 접근 권한 관리 부실, 주민등록번호 등에 안전하지 않은 암호 연산 방식 적용 등으로 회원 개인정보 5669건(주민등록번호 4182건 포함)이 유출됐다. 법적 근거 없이 주민등록번호 처리, 개인정보 수집 동의 항목 누락, 보유기간이 지난 개인정보 미파기, 유출 사실 통지 항목 누락, 업무 위탁 시 개인정보 처리 누락 등 위반 사실도 드러났다.
하나로의료재단은 환자 진료와 건강검진을 하는 의료법인으로 엑셀 파일 별도 영역에 개인정보가 담겨진 사실을 모르고 장기간 이용하다 이를 외부기관에 전송하는 과정에서 건강검진 대상자 개인정보 1147건(주민등록번호 1139건 포함)을 유출했다. 운영 중인 검진관리시스템 접근 권한과 접속 기록 관리 부실, 안전하지 않은 암호 연산 방식 적용 등 안전성 확보 조치가 소홀했던 사실도 파악됐다.
개인정보위는 대우세계경영연구회에 대해 주민등록번호 유출과 안전성 확보 조치 위반으로 과징금 2437만5000원을 부과하고 이외 법적 근거 없는 주민등록번호 처리 등 위반에 대해서는 과태료 1600만원을 부과했다. 하나로의료재단에는 주민등록번호 유출과 암호화 조치 위반으로 과징금 1687만5000원, 검진관리시스템 안전성 확보 조치 위반으로 과태료 900만원을 부과하고 임직원이 정기 개인정보 보호 교육을 받도록 개선권고했다.
송상훈 개인정보위 조사조정국장은 “주민등록번호는 개인 신원을 명확히 구분할 수 있는 중요 개인정보로 유출될 경우 범죄 등에 악용될 가능성이 많은 만큼 철저한 관리가 필요하다”면서 “이번 사례와 같이 개인정보처리시스템은 물론 엑셀 등 개별 자료에도 중요한 개인정보가 있을 수 있으므로 주요 자료 암호화 등 안전성 확보 조치를 철저히 하고 임직원 교육 등을 통해 사소한 부주의도 없도록 해 달라”고 당부했다.
오다인기자 ohdain@etnews.com