개인정보위, 공무원연금공단 5.3억, 강북구청 3.8억 과징금 부과키로
외부인에 연금 정보 넘겨준 공무원연금공단…공무원 1036명 피해
해커에 털린 강북구청, ID·비밀번호 등 공무원 973명 정보유출
개인정보위 "기본적인 안전조치 소홀…엄중 문책"
개인정보보호위원회는 지난 25일 제5회 전체회의를 열고 공무원연금공단과 강북구청의 개인정보 보호법 위반 사실을 확인하고, 총 9억1480만원 규모의 과징금 및 과태료를 부과하기로 의결했다고 밝혔다.
공무원연금공단에서는 외부인이 내부 시스템에 접속해 공무원 1036명의 개인정보를 무단 열람한 사실이 드러났다. 해당 시스템은 연금 가입 관리와 급여 산정 등을 담당하는 업무용 시스템으로, 주민등록번호와 소득 정보 등 민감한 정보가 포함돼 있다.
조사 결과, 공단은 서명이나 직인이 누락되거나 위조가 의심되는 신청서에도 별다른 검증 없이 접근 권한을 승인한 것으로 확인됐다. 또한 인사 이동 등으로 권한이 변경된 이용자의 접근 권한을 즉시 회수하지 않았고, 접속기록 관리 역시 제대로 이뤄지지 않았다.
이에 개인정보보호위원회는 공무원연금공단에 과징금 5억3200만원을 부과하고, 관련자 징계 권고 및 위반 사실 공표를 결정했다.
강북구청에서도 유사한 보안 허점이 확인됐다. 해커가 영상정보제공시스템 관리자 페이지에 침입해 공무원 973명의 개인정보를 다운로드한 사건이 발생했다. 유출된 정보에는 이름, ID, 비밀번호 등 인증정보가 포함됐다.
문제는 기본적인 보안 조치가 제대로 작동하지 않았다는 점이다. 해당 시스템은 IP 주소 제한 없이 외부 인터넷에서 접속이 가능했으며, 별도의 안전한 인증 절차도 적용되지 않았다. 비밀번호는 안전성이 낮은 방식으로 암호화돼 있었고, 접속기록 역시 1년 이상 보관되지 않았다. 유출 사실 통지 과정에서도 일부 필수 항목이 누락된 것으로 확인됐다.
개인정보위는 강북구청에 과징금 3억7800만 원과 과태료 480만원을 부과하고, 유출 통지 내용을 보완하도록 시정 권고했다. 위반 사실에 대한 공표 조치도 함께 내려졌다.
개인정보위는 이번 사건이 모두 기본적인 안전조치 의무를 지키지 않아 발생한 사례라고 지적했다. 특히 대량의 개인정보를 처리하는 공공기관의 경우 접근권한 관리, 접속기록 보관, 외부 접근 통제 등 기본 보안 수칙 준수가 필수적이라고 강조했다.
개인정보위는 앞으로 지방자치단체를 대상으로 관리자 페이지 외부 노출 여부 등 보안 점검을 강화하고, 안전조치 의무 준수 여부를 지속적으로 점검해 나갈 방침이다.
◎공감언론 뉴시스 snow@newsis.com