개인정보위, 취업 준비생 개인정보를 유출한 인크루트에 과징금 4.6억원 부과
- 약 730만명 취업준비생의 이력서 등을 포함한 개인정보 대량 유출
- 개인정보 유출로 23. 7월 과징금 처분 이후 25. 2월 유출사고 재발
- 전문 CPO 신규 지정 및 책임 명확화, 피해 정보주체에 대한 회복 지원 등 구체적인 재발방지 계획을 수립해 60일 내 개인정보위에 보고 시정명령 병행
- 개인정보위는 이행여부를 철저히 확인해, 반복적 유출사고 근절 추진
* 징벌적 효과를 갖는 과징금 제도 개선안 마련중


개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 10월 22일(수) 제22회 전체회의를 열고, 개인정보보호 법규를 위반한 인크루트㈜에 대해 4억 6,300만 원의 과징금을 부과하고, 전문 CPO 신규 지정, 정보주체에 대한 피해회복 지원 등 재발방지를 위한 시정조치(안)을 의결하였다.

온라인 취업포털 사이트를 운영하는 인크루트㈜는 25. 2월 해킹으로 인해 전체회원 730여만명의 개인정보가 유출되는 사고가 발생하였다. 이에 개인정보위에 유출신고를 하였으며, 개인정보위 조사 결과 인크루트㈜는 ｢개인정보 보호법｣에 따른 안전조치 의무를 소홀히 한 것으로 확인되었다. 한편 인크루트㈜는 개인정보 유출로 23. 7월에도 개인정보위 제재처분*을 받은 바 있다.
* (처분내용)크리덴셜 스터핑 공격으로 개인정보 3만 5,076건이 유출되어('20.9월), 접근통제 위반으로 과징금 7,060만원, 과태료 360만원 부과 처분
- 대량의 로그인을 시도하는 IP 주소 등 탐지·차단 정책을 적절하게 적용하지 않았으며, 휴면계정 해제시 추가인증 미적용 등 접근통제 위반(舊 보호법 §29, 舊 고시 §4조⑤·⑨)

인크루트㈜의 구체적 위반 내용과 처분 결과는 다음과 같다.

[ 위반내용 및 처분 결과 ]

신원미상의 해커는 25. 1월 인터넷망에 접속한 인크루트㈜ 직원(개인정보취급자)의 업무용 PC에 악성코드를 감염시켰다. 이후 해커는 개인정보취급자의 데이터베이스(DB) 접속계정을 탈취하여 내부시스템에 침투하였으며, 전체회원 7,275,843명의 개인정보*, 이력서·자기소개서·자격증사본 등 회원 개인저장파일 54,475건 등 총 438GB에 달하는 취업 관련 정보가 1달여에 걸쳐(25.1.19.~2.23.) 모두 유출되었다.

* 이름, 성별, 휴대전화번호, 학력, 경력, 사진, 장애·병역·고용지원금 대상여부 등 18개 항목



개인정보위 조사결과에 따르면, 업무시간 외 비정상적인 DB 접속기록이 존재하였고, 내부자료를 외부로 유출하면서 비정상적인 대용량 트래픽이 발생하였음에도 인크루트㈜는 이상행위에 대한 대응을 소홀히 하여 약 2달이 지난 후 해커의 협박메일을 수신하고 나서야 유출사실을 인지한 것으로 밝혀졌다. 아울러, 민감정보를 포함한 다량의 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터에 대한 인터넷망 차단조치를 하지 않은 사실도 확인되었다.

인크루트㈜는 지난 23. 7월 과징금 처분 이후 3년 이내에 다시 개인정보 유출사고가 발생한 경우로 안전조치 의무를 반복적으로 위반한 것으로 확인되었다. 개인정보위는 이처럼 개인정보 유출이 반복되는 상황을 매우 심각하게 인식하고, 반복적 위반에 대해 현행 법을 엄격하게 적용하여 과징금 4억 6,300만원을 부과하고, 운영 중인 홈페이지에 처분받은 사실을 공표할 것을 명령하였다.

아울러, 전문 CPO를 신규 지정하고 CPO의 책임과 역할을 명확히 하는 한편, 정보주체를 위한 피해회복 지원을 포함한 구체적인 재발방지 계획을 마련하여 60일이내에 개인정보위에 보고할 것을 시정명령하였다.

[ 이번 조사·처분의 의의 ]

개인정보위는 이번 유출사고가 구직사이트의 특성상 취업준비생의 기본적인 개인정보뿐만 아니라 학력, 경력, 장애여부, 병역사항 등 한 사람의 삶과 경력이 집약된 정보를 광범위하게 보유하였음에도, 안전조치 의무를 소홀히 하여 다량의 개인정보를 유출하였다는 점에서 매우 중대하게 판단하였다. 특히 이전에도 유출사고가 발생한 바 있음에도 불구하고 또다시 대규모 유출이 발생한 점을 엄중히 인식하고 현행 법 적용이 가능한 범위 내에서 엄정한 처분이 이루어졌다.

아울러, 개인정보위는 유출사고가 반복되는 기업 등 개인정보 보호에 현저히 소홀한 기업에 대해서는 징벌적 효과를 갖는 과징금 제도 개선안을 마련하고 있으며 이를 통해 제재의 실효성을 보다 강화할 계획이다.


* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 장석인(02-2100-3157)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”

이전다음기사

다음기사개인정보위, 유출 사고 발생한 위·수탁자 모두 과징금 처분