개인정보위는 24일 제2차 전체회의를 열고 23만6000여명의 개인정보를 유출한 한국고용정보원과 3만2000여명의 개인정보가 유출된 한국장학재단에 과태료 부과 및 시스템 보안 대책 정비 개선을 권고하기로 했다고 25일 밝혔습니다.

 

 

개인정보위에 따르면 지난해 6~7월 한국고용정보원의 구인·구직 사이트인 ‘워크넷’에 신원 미상의 자가 ‘크리덴셜 스터핑’ 방식으로 침입해 대량의 개인정보가 유출됐습니다. 한국장학재단에서도 동일한 방식으로 개인정보가 유출된 사실이 확인됐습니다.

‘크리덴셜 스터핑’은 공격자가 다른 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 해킹 공격입니다.

개인정보위는 두 기관 모두 이에 대응하는 보안 대책이 미흡했고 주민등록번호 등 고유 식별 정보를 암호화하지 않고 저장한 위반 사항을 확인했습니다. 두 기관은 사고 이후 보안 대책 설정을 재정비하고 유사한 피해가 재발하지 않도록 기존의 로그인 방식을 변경했습니다.

개인정보위는 “대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크다”라며 “유연한 대응 체계를 갖출 필요가 있고, 기관 차원의 각별한 주의가 필요하다”라고 당부했습니다.

 

 

개인정보위는 또 이날 ‘고정형 영상정보처리기기’(CCTV)를 운영하면서 안내판을 설치하지 않아 개인정보보호법을 위반한 15개 사업자 및 개인에게 과태료 처분이 아닌 시정 명령과 경고 조치를 내렸습니다. 이는 지난해 9월 개정된 개인정보보호법 시행 이후 달라진 영상정보처리기기 관련 규정을 적용한 첫 사례입니다.

아울러 개인정보위는 바이오·헬스, 인공지능(AI) 분야 등에서 가명 정보 활용을 확대하는 내용이 담긴 ‘가명 정보 결합 및 반출 등에 관한 고시’ 개정안을 의결했습니다. 이를 통해 앞으로는 국민건강보험공단, 통계청 등 다양한 데이터를 보유한 결합전문기관의 가명정보 결합·활용 절차가 효율적으로 진행될 수 있게 됐습니다.