[뉴스토마토 전연주 기자] 개인정보 보호 법규를 위반한 KS한국고용정보, 듀오정보 주식회사, 금릉공원묘원에 총 47억8820만원의 과징금과 1740만원의 과태료가 부과됐습니다.
개인정보보호위원회(개보위)는 전일 서울 종로구 정부서울청사에서 제7회 전체회의를 열고 이 같은 내용을 골자로 한 시정조치 및 공표 명령을 의결했다고 23일 밝혔습니다.
개보위에 따르면 이번 제재 대상 3곳은 모두 개인정보처리시스템에 대한 안전조치를 소홀히 해 개인정보 유출 사고가 발생했고, 법적 근거 없이 주민등록번호를 처리한 것으로 조사됐습니다. 일부 업체는 유출 신고나 정보주체 통지 의무도 제대로 이행하지 않은 것으로 나타났습니다.
송경희 개인정보보호위원회 위원장이 이달 22일 서울 종로구 정부서울청사에서 개최된 2026년 제7회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. (사진=개보위)
가장 큰 제재를 받은 KS한국고용정보는 관리자 계정정보 탈취와 취약한 웹페이지를 악용해 상담사, 직원, 입사지원자 등 4만875명의 개인정보가 유출됐습니다. 또 입사 과정에서 제출된 각종 인사서류 파일 약 5만건도 함께 유출됐는데요. 여기엔 본인뿐 아니라 가족 개인정보도 다수 포함된 것으로 파악됐습니다. 해커는 유출 뒤 다크웹에 샘플 정보를 게시하고 데이터베이스(DB) 거래를 시도한 정황도 있었지만, 실제 거래 성사 여부는 확인되지 않았습니다.
개보위는 KS한국고용정보가 외부 접속시 IP 제한 등 접근통제를 충분히 하지 않았고, 관리자 페이지에 2차 인증 등 안전한 인증수단도 적용하지 않았다고 설명했습니다. 또 주민등록번호를 암호화 없이 저장했고, 입사 여부가 확정되지 않은 지원자 단계에서부터 주민등록번호를 수집한 점도 위법한다고 판단했습니다. 보유기간이 지난 2035명의 개인정보를 파기하지 않은 사실도 확인돼 총 과징금 35억3700만원과 과태료 420만원을 부과했습니다.
듀오정보 주식회사는 직원 PC가 악성코드에 감염된 뒤 회원 DB 서버 계정정보가 탈취되면서 전체 정회원 42만7464명의 개인정보가 유출됐습니다. 결혼정보회사 특성상 유출 정보에는 민감도가 높은 정보가 폭넓게 포함됐습니다.
듀오는 회원 가입 단계에서부터 주민등록 번호를 수집해 온 것으로 드러났습니다. 다만 국내 결혼중개업법상 국내 결혼중개의 경우 주민등록번호 처리를 허용하는 명시적 법적 근거는 없습니다. 또 유출 사실을 인지하고도 72시간 내 신고 의무를 지키지 않았고, 홈페이지 공지만 했을 뿐 정보주체에게 개별 통지를 하지 않은 점도 제재 사유에 포함됐습니다. 이 밖에 인증 실패 시 접근 제한 미비, 취약한 암호화 방식 적용, 보유기간 경과 정보 미파기 등이 확인돼 과징금 11억9700만원과 과태료 1320만원을 부과했습니다.
금릉공원묘원은 관리비 조회·납부 페이지의 파라미터 변조 취약점이 악용되면서 이용자 5373명의 이름, 주민등록번호, 휴대전화 번호가 유출됐습니다. 개보위는 파라미터 변조 취약점 점검 소홀과 암호화 미흡, 주민등록번호 처리 제한 위반 등을 확인해 과징금 5420만원을 부과했습니다.
개보위는 이날 기자설명회에서 듀오정보의 유출 규모와 민감성이 더 커 보이는데도 KS한국고용정보보다 과징금이 적은 이유에 대해, 과징금은 단순 유출 건수가 아니라 관련 매출액을 기준으로 산정된다고 설명했습니다. 사고 발생 전 직전 3개년도 평균 매출액을 바탕으로 법정 상한인 3% 범위 안에서 위반의 중대성 등을 반영한다는 것입니다.
개인정보위는 주민등록번호는 법령상 명시적 근거가 있는 경우에만 제한적으로 수집·이용할 수 있다며, 사업자들이 적법한 처리 근거와 암호화 등 안전조치 이행 여부를 전반적으로 점검해야 한다고 강조했습니다. 아울러 결혼중개, 채용 서비스처럼 대량의 민감한 정보를 수집하는 분야에 대해서는 개인정보 처리방침 평가와 기획점검 등을 통해 개인정보 수집·이용의 적절성과 정보주체 권리 보호 수준을 지속적으로 점검하겠다고 밝혔습니다.
전연주 기자 kiteju1011@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김충범 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지