한국고용정보원이 23만여건의 개인정보를 유출하는 등 개인정보 관리를 소홀히 해 당국으로부터 제재를 받았다.
개인정보보호위원회가 지난 24일 전체회의를 열고 개인정보를 유출한 고용정보원과 한국장학재단에 각각 840만원의 과태료와 함께 개선권고 처분을 내렸다.
한국고용정보원의 '워크넷'(구인·구직 사이트)은 지난해 6~7월 '크리덴셜 스터핑(Credential Stuffing)' 공격을 받아 23만6000여명의 개인정보가 유출됐다. 한국장학재단 홈페이지도 동일한 방식에 의해 3만2000여명의 개인정보가 새어 나갔다.
크리덴셜 스터핑은 공격자가 다른 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 공격법이다. 로그인 시도 횟수와 로그인 실패율이 급증하는 게 특징이다.
두 기관 모두 24시간 감시·모니터링 체계는 갖추고 있었으나, 로그인 시도 및 실패율이 증가하는 형태의 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책은 미흡했던 것으로 확인됐다. 조사 과정에서 고유식별정보(주민등록번호)를 암호화하지 않고 평문으로 저장한 위반 사항도 밝혀졌다.
두 기관은 보안대책 설정을 재정비하는 등 위반 사항을 시정하는 한편 유사 피해가 재발하지 않도록 기존의 로그인 방식을 변경했다.
개인정보위 관계자는 “대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크기 때문에 유연한 대응 체계를 갖출 필요가 있다”며 “특히 개인정보 보호법 개정에 따라 지난해 9월 15일 이후 발생한 공공기관의 개인정보 유출에 대해선 제재 수위가 대폭 강화된 만큼, 기관 차원의 각별한 주의를 기울여 달라”고 당부했다.
개인정보위는 또 가명정보 결합전문기관이 자기활용을 위한 데이터 자체결합을 허용하는 내용을 담은 '가명정보 결합 및 반출 등에 관한 고시' 일부 개정안을 의결했다.
그간 결합전문기관은 기관이 보유한 데이터를 직접 결합해서 자신의 과학적 연구 등에 활용할 수 없었다. 이번 개정으로 국립암센터·국민건강보험공단·통계청 등 다양한 데이터를 보유한 결합전문기관의 가명정보 결합·활용 절차가 신속하고 효율적으로 진행될 수 있어 바이오·헬스, AI, 사회복지 등 여러 분야의 공동연구가 활성화할 것으로 기대된다.
전문인력의 경력인정 분야를 확대하고 경력요건을 다양화하는 등 결합전문기관 지정요건도 개선했다.
개인정보위는 이날 사전적정성 검토를 신청한 △벡터시스 △디사일로와 뱅크샐러드와 이들 사업자가 마련한 개인정보보호법 준수방안도 의결했다. 사전적정성 검토제는 인공지능(AI) 등 신서비스·신기술 분야에서 개인정보 보호법을 준수하는 방안을 민간사업자와 정부가 함께 마련하고, 이를 사업자가 적정히 적용했다면 추후 환경·사정 변화가 없는 한 행정처분 대상에서 제외하는 제도다.
조재학 기자 2jh@etnews.com
