정부24서 개인정보 1233건 유출…행안부, 시스템 오류로 과징금 2.7억 제재

기사등록 2026/05/28 11:00:00

개인정보위, 행안부에 '개인정보보호법' 위반 처분

1200여명 주민번호생활기록부 등 노출…'나이스' 민원서류·납세증명서 개발 오류

농촌진흥청·국립농업과학원·미소테크도 수탁자 관리 부실 제재

[세종=뉴시스] 정부24 화면. (사진=정부24 홈페이지 갈무리). *재판매 및 DB 금지

[서울=뉴시스]윤정민 기자 = 정부의 개인정보 보호 책임 부처인 행정안전부는 정작 자신들의 관리 부실로 수억원대 과징금을 물게 됐다. 정부 통합 행정 서비스 포털 '정부24'의 시스템 오류로 국민의 개인정보가 타인에게 노출된 사고에 따른 제재다.

개인정보보호위원회는 27일 오후 정부서울청사에서 전체회의를 열고 개인정보 보호법을 위반한 행안부에 과징금 2억7300만원을 부과하기로 의결했다.

행안부는 정부24를 운영하는 과정에서 심각한 개발 오류를 냈다. 2024년 4월 교육부 정보시스템인 '나이스(NEIS)' 연계 서류와 국세청 납세증명서 발급 시스템의 소스코드가 잘못 짜였다. 이 오류로 인해 민원인 1233명의 개인정보가 엉뚱한 사람에게 조회되는 사고가 터졌다.

유출된 정보는 민감한 내용 일색이다. 학교 생활기록부와 졸업증명서 등 6가지 서류에 적힌 이름, 생년월일, 주민등록번호, 학교 정보 등이 그대로 노출됐다. 국세청 납세증명서에 들어있던 법인 대표자의 이름과 주민등록번호도 함께 유출됐다.

보안 구멍은 이뿐만이 아니다. 지난해 5월에는 정부24의 주민등록증 발급 상황 조회 서비스에서 본인 인증 취약점이 발견됐다. 이 틈을 타 타인의 발급 상황이 조회되는 사고가 4건 발생했다. 또한 공공주차장 담당자들의 이름과 연락처, 소속 등이 적힌 파일이 구글 검색창에 그대로 노출되는 황당한 사고도 있었다. 이 사고로 3828명의 정보가 흘러나갔다.

개인정보위 조사 결과 행안부는 국세 납세증명서 서식 변경을 위해 개발한 소스코드와 관련해 개인 발급에 대해서만 테스트하고 법인 발급 테스트는 누락하는 등 점검을 소홀히 했다. 주민등록증 발급 상황 조회 서비스에 사용된 본인 인증 모듈 취약점도 발견·조치하지 않았다.

사후 대처도 낙제점이었다. 행안부는 2024년 4월 1일에 이미 유출 사실을 인지했다. 하지만 정당한 이유 없이 법정 시한인 72시간을 넘겨서야 피해 국민에게 이 사실을 통지했다. 홈페이지에 위탁 계약 업체를 누락한 사실도 적발됐다.

이에 개인정보위는 행안부에 과징금과 함께 과태료 750만원을 부과하고 시정권고, 공표 및 공표명령도 내렸다.

[서울=뉴시스] 개인정보보호위원회는 27일 오후 정부서울청사에서 2026년 제10회 개인정보보호위원회 전체회의를 열었다. 2026.05.28. (사진=개인정보보호위원회 제공)

이날 회의에서는 농촌진흥청과 소속 기관들도 무더기로 제재를 받았다. 외주 관리 업체의 보안 부실로 인해 무려 57만 5000여건의 개인정보가 해커에게 털려 다크웹에 유출된 탓이다.

시스템 유지보수 업체인 미소테크는 농진청에서 받은 이름, 주소, 연락처, 과학기술인번호 등을 자사 네트워크 저장장치(NAS)에 무단으로 보관했다. 특히 이 장치를 외부 IP로 접근 가능한 상태로 운영했다. 관리자 계정의 아이디와 비밀번호만으로 접근이 가능하도록 설정하는 등 접근통제 조치가 미흡했던 것으로 확인됐다.

한편 개인정보위는 이날 개인정보 보호법을 위반한 농촌진흥청과 국립농업과학원, 국립축산과학원, 미소테크에 대해서도 각각 제재를 의결했다. 농촌진흥청에는 과징금 1억6800만원, 국립농업과학원에는 과징금 2310만원, 미소테크에는 과징금 8250만원과 과태료 450만원을 부과했다. 국립축산과학원에는 시정명령이 내려졌다.

법 위반 사유는 수탁업체인 미소테크의 안전조치의무 위반과 개인정보 미파기, 농촌진흥청 등 위탁기관의 수탁자 관리·감독 소홀이다.

미소테크는 농촌진흥청과 소속기관(국립농업과학원, 국립축산과학원)으로부터 시스템 유지·관리 등을 위탁받았다.

미소테크는 이름, 주소, 연락처, 이메일 주소, 직장 정보, 과학기술인번호, 농장 정보 등 개인정보 57만5000여건을 자사 네트워크 저장장치(NAS)에 보관하고 있었다. 하지만 해커가 이 정보를 탈취해 지난해 4월 다크웹에 게시했다.

조사 결과 미소테크는 위탁받은 개인정보를 자체 NAS에 무단 보관했다. 또 해당 NAS를 외부 IP로 접근 가능한 상태로 운영했다. 관리자 계정의 아이디와 비밀번호만으로 접근이 가능하도록 설정하는 등 접근통제 조치가 미흡했던 것으로 확인됐다.

농진청의 감시망은 작동하지 않았다. 사업이 끝난 뒤 업체로부터 말로만 서류를 받았을 뿐, 실제 노트북이나 외장하드에서 개인정보가 지워졌는지 눈으로 확인하지 않았다.

개인정보위는 외주 업체를 방치한 농진청에 1억6800만원, 국립농업과학원에 2310만원의 과징금을 물렸다. 사고를 친 미소테크에는 과징금 8250만원과 과태료 450만원을 부과했다. 국립축산과학원에는 시정명령이 내려졌다.

◎공감언론 뉴시스 alpaca@newsis.com

이 시간 핫 뉴스

세상에 이런 일이

메뉴
실시간 뉴스	톱기사 히스토리	섹션별 뉴스
지역 뉴스	포토	오늘의 속보