국내 주요 취업 포털 ‘인크루트’가 해킹 공격으로 730만 명에 달하는 회원 개인정보를 대규모로 유출한 사실이 뒤늦게 확인됐다. 특히 해킹 이후 두 달이 지나서야 사고를 인지한 것으로 드러나 보안 관리의 허점을 드러냈다. 개인정보보호위원회(이하 개인정보위)는 인크루트의 반복적 위반 행위를 심각하게 보고 4억 원 넘는 과징금을 부과했다.
● 해커, 직원 PC 악성코드 감염시켜 730만명 개인정보 유출
23일 개인정보위는 개인정보 보호 법규를 위반한 인크루트에 대해 과징금 4억6300만 원을 부과하고, 전문 최고개인정보보호책임자(CPO) 신규 지정과 피해자 지원 등 재발 방지 대책을 마련할 것을 의결했다고 밝혔다.
이번 조치는 올해 1월 인크루트 내부 시스템에 침투한 신원 미상의 해커가 직원의 업무용 PC에 악성코드를 심어 데이터베이스(DB) 접근 권한을 탈취한 사건에 따른 것이다.
해커는 약 한 달간 내부 시스템을 통해 회원 727만5843명의 이름, 연락처, 생년월일 등 개인정보와 함께 이력서·자기소개서·자격증 사본 등 개인 저장 파일 5만4475건(총 438GB)을 빼냈다.
● 두 달간 유출 몰라…직원 PC, 인터넷망도 분리 안돼
업무 시간 외 비정상적인 대용량 트래픽이 반복적으로 발생했음에도, 인크루트는 약 두 달이 지나 해커의 협박 메일을 받고 나서야 유출 사실을 인지한 것으로 드러났다.
또한 개인정보위 조사 결과, 민감정보를 포함한 다량의 개인정보를 다루는 직원 PC가 인터넷망과 분리되지 않아 외부에서 개인정보를 다운로드하거나 삭제할 수 있는 상태로 방치된 사실도 확인됐다.
● “반복적 위반 심각”…작년에도 유출로 과징금 처분
인크루트는 지난해 7월에도 개인정보보호법상 안전조치 의무를 위반해 약 3만5000건의 개인정보를 유출한 바 있다. 당시에도 과징금 7060만 원과 과태료 360만 원이 부과됐다.
개인정보위는 “이전 제재에도 동일한 위반이 반복된 점을 매우 심각하게 인식했다”며 “피해자 지원과 재발 방지 계획을 60일 내 제출하고, 처분 사실을 공식 홈페이지에 공표하라”고 명령했다.
● 인크루트 “공식 처분서 받으면 지침 따라 조치할 계획”
현재 인크루트 홈페이지에는 개인정보위의 처분 사실이 아직 공표되지 않았다.
인크루트 측은 동아닷컴에 “공식 처분서를 아직 수령하지 않아, 이를 받은 뒤 위원회의 지침에 따라 조치할 계획”이라며 “재발 방지 계획 역시 공식 처분서에 명시된 내용에 맞춰 단계적으로 시행할 예정”이라고 밝혔다.
황수영 기자 ghkdtndud119@donga.com
