송경희 개인정보보호위원회 위원장이 22일 서울 종로구 정부서울청사에서 열린 제22회 전체회의에서 모두발언을 하고 있다. 사진=뉴스1
광고 로드중
국내 주요 취업 포털 ‘인크루트’가 해킹 공격으로 730만 명에 달하는 회원 개인정보를 대규모로 유출한 사실이 뒤늦게 확인됐다. 특히 해킹 이후 두 달이 지나서야 사고를 인지한 것으로 드러나 보안 관리의 허점을 드러냈다. 개인정보보호위원회(이하 개인정보위)는 인크루트의 반복적 위반 행위를 심각하게 보고 4억 원 넘는 과징금을 부과했다.
● 해커, 직원 PC 악성코드 감염시켜 730만명 개인정보 유출
23일 개인정보위는 개인정보 보호 법규를 위반한 인크루트에 대해 과징금 4억6300만 원을 부과하고, 전문 최고개인정보보호책임자(CPO) 신규 지정과 피해자 지원 등 재발 방지 대책을 마련할 것을 의결했다고 밝혔다.
광고 로드중
해커는 약 한 달간 내부 시스템을 통해 회원 727만5843명의 이름, 연락처, 생년월일 등 개인정보와 함께 이력서·자기소개서·자격증 사본 등 개인 저장 파일 5만4475건(총 438GB)을 빼냈다.
● 두 달간 유출 몰라…직원 PC, 인터넷망도 분리 안돼
업무 시간 외 비정상적인 대용량 트래픽이 반복적으로 발생했음에도, 인크루트는 약 두 달이 지나 해커의 협박 메일을 받고 나서야 유출 사실을 인지한 것으로 드러났다.
또한 개인정보위 조사 결과, 민감정보를 포함한 다량의 개인정보를 다루는 직원 PC가 인터넷망과 분리되지 않아 외부에서 개인정보를 다운로드하거나 삭제할 수 있는 상태로 방치된 사실도 확인됐다.
광고 로드중
인크루트는 지난해 7월에도 개인정보보호법상 안전조치 의무를 위반해 약 3만5000건의 개인정보를 유출한 바 있다. 당시에도 과징금 7060만 원과 과태료 360만 원이 부과됐다.
개인정보위는 “이전 제재에도 동일한 위반이 반복된 점을 매우 심각하게 인식했다”며 “피해자 지원과 재발 방지 계획을 60일 내 제출하고, 처분 사실을 공식 홈페이지에 공표하라”고 명령했다.
● 인크루트 “공식 처분서 받으면 지침 따라 조치할 계획”
인크루트 홈페이지 메인 화면. 개인정보위의 과징금 처분 사실은 아직 공표되지 않은 상태다. (사진=인크루트 홈페이지 캡처)
현재 인크루트 홈페이지에는 개인정보위의 처분 사실이 아직 공표되지 않았다.
인크루트 측은 동아닷컴에 “공식 처분서를 아직 수령하지 않아, 이를 받은 뒤 위원회의 지침에 따라 조치할 계획”이라며 “재발 방지 계획 역시 공식 처분서에 명시된 내용에 맞춰 단계적으로 시행할 예정”이라고 밝혔다.
광고 로드중