개인정보위원회 법원행정처에 대한 처분 결과를 설명드리도록 하겠습니다.

위원회는 어제 1월 8일 제1회 전체회의를 열고, 개인정보 법규를 위반한 법원행정처에 대하여 총 2억 700만 원의 과징금과 600만 원의 과태료를 부과하였습니다.

개인정보 유출 신고에 따라 조사가 이루어졌으며, 참고로 작년 2024년 5월 경찰 등 관계기관의 합동조사 결과 북한발 해킹에 따라서 약 1,014GB 정도의 데이터가 유출된 사실이 확인되었으며, 개인정보위원회는 후속 조치로 유출 내용들을 확인하고 법원행정처의 개인정보보호법 위반 행위를 확인하여 처분에 이르게 되었습니다.

상세한 내용을 설명드리도록 하겠습니다.

먼저, 법원행정처는 이용상 편의를 위해 내부망과 외부망 간 상호 접속이 가능한 인터넷 이용 포트를 개방·운영하였고, 이로써 이런 포트를 통해 침입한 해커가 내부망 전자소송 서버에 저장된 다량의 소송 문서를 유출한 사실이 확인되었습니다.

이 중 경찰 수사결과 복원이 이루어진 4.7GB에 대해서 분석한 결과, 해당 데이터 내 주민등록번호를 포함한 1만 7,998명의 개인정보가 확인되었습니다.

조사 결과, 법원행정처는 소송 관련 문서를 PDF로 변환하면서 소송 서버에 암호화 조치를 하지 않았으며, 인터넷AD서버나 관리자계정, 인터넷가상화PC 등 취급자 계정의 비밀번호를 유추하기 쉬운 계정의 초기 비밀번호를 그대로 사용하였고, 내부망에 위치한 인터넷가상화웹서버에 백신 소프트웨어 등 보안 프로그램을 설치하지 않고 운영하는 등 기본적인 안전조치가 미흡했던 것으로 나타났습니다.

아울러, 법원행정처는 2023년 2월 악성파일을 탐지하고 침해사고 자체조사를 진행하여 2023년 4월에 법원 전산망에서 개인정보가 유출된 정황을 인지하였음에도 한참 뒤인 2023년 12월 7일 개인정보 유출 신고를 하고 홈페이지에 유출 관련 안내문을 게시한 사실도 확인하였습니다.

이에 따라 개인정보보호위원회는 법원행정처에 주민등록번호 유출에 따른 과징금 2억 700만 원과 유출신고 위반, 정보 주체에 대한 통지 위반 합 600만 원의 과태료를 부과하고 관련 내용을 공표하는 한편, 개인정보시스템 운영체계와 조직·인력, 관련 규정 등 보호체계 전반에 대한 안전조치 실태를 점검하고 개인정보보호 수준 향상을 위한 방안을 마련하도록 개선권고하였습니다.

아울러, 위원회는 대량의 개인정보를 처리하고 있는 공공기관들이 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치와 관련된 의무사항을 반드시 이행하는 한편, 외부의 불법접근 시도에 대해서도 상시 모니터링을 강화하는 등 각별한 주의를 당부합니다.

이상 발표를 마치겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하세요? 혹시 이번 제재가 그동안 나왔던 공공기관 제재 중에서 가장 센 수준인지 궁금해서요.

<답변> 법원행정처는 개인정보보호법 개정되기 전에 있었던 사건이기 때문에 구 개인정보보호법을 적용한 공공기관 사건 중에선 가장 큰 과징금을 부과받았습니다.

다만, 역대 공공기관 중에서는 개정법을 적용한 지난 9월에 사회복지협에 4억 8,000만 원이 가장 최대 과징금이고요. 구법을 적용해서는 법원행정처가 가장 높은 과징금을 부과받게 됩니다.

<질문> *** 과징금이 좀 높았던 이유와 그다음에 유출 확인된 게 1만 8,000명인데 그러면 이보다 훨씬 더 유출 규모가 더 많았을 수 있다는 얘기인가요?

<답변> 두 가지 질문해 주셨는데요. 저희가 구법상 주민등록번호 유출에 대해서는 과징금을 규모에 따라서, 그러니까 주민등록번호 유출된 규모에 따라서 부과도 꽤 있습니다. 아까 말씀해 주셨듯이 경찰 조사 결과 1,000GB 상당의 데이터 유출된 거는 확인했는데 실제로 복구 가능한, 실제 내용을 확인할 수 있는 거는 4.7GB 정도밖에 되지 않았고, 그리고 사실은 전수 복원한 결과 주민등록번호 자체는 2,000명밖에 나오지 않았지만 저희가 유출되게 된 경위나 또 이거를 위반하게 된 목적 등을 봤을 때 중과실로 판단해서 구법상 적용 가능한 범죄에서 엄정하게 적용해서 과징금을 2억 원 정도 부과하게 된 것입니다.

그리고 4.7GB 정도의 복원 내용은 말씀하셨듯이 주민등록번호 2,010명과 이름 대략 1만 5,000명, 생년월일 2,300명, 연락처 2,000명, 주소 4,200명, 나이, 성별 등이고요. 731종의 1만 89개 소송 관련 문서 등이 확인되었습니다.

<질문> 그러니까 유출된 거의 한 절반 정도가 복원이 된 거잖아요.

<답변> 정확히 말하면 1,014GB가 유출됐는데 복원이 가능한 파일은 4.7GB밖에 안 돼서 4.7GB를 전체 복원했습니다. 4.7GB 복원 내용이 1만 7,000명 정도 됩니다.

<질문> 그래서 대충 절반 미만이니까 절반 미만에서 1만 8,000명 정도 유출이 된 거니까 그러면 실제로는 훨씬 더 많은 거...

<답변> 절반은 아니고 1,000GB와 4GB니까 250분의 1 정도. 0.46%만 복원이 가능했습니다. 그러니까 0.4% 정도 복원됐다고 보시면 됩니다. 실제로는 물론, 소송 문서기 때문에 어떤 형태에 따라서 개인정보가 많이 들어 있을 수 있고 적게 들어 있을 수 있지만 평균적으로 하면 한 250배 정도 이상의 유출이 있었을 가능성도 배제할 수는 없습니다.

<질문> 안녕하세요? 이거 보니까 4월에 개인정보 유출 정황을 인지했고 12월에 유출 신고했다, 라고 말씀 주셨는데 혹시 8개월 정도 늦어진 것 또한 이번 과징금 액수를 더하는 데 영향을 끼쳤는지 설명 부탁드립니다.

<답변> 저희 법상 이게 구법이기 때문에 유출 사항을 인지한 때에는 정보 주체한테 5일 이내에 통지하게 돼 있고, 저희 위원회에도 신고를 해야 됩니다. 그리고 유출 통지하고 신고의무 위반이 각각 300만 원씩 해서 과태료가 600만 원이 나온거고요. 이거 자체는 과징금과 별도의 사항입니다.

늦어지게 된 경위는 법원행정처에서는 인지하기 어려운 점이 있었다, 라고 설명을 했으나 당연히 소송 문서가 나왔기 때문에 개인정보가 있었다는 걸 당연히 유추할 수 있을 거로 저희는 판단해서 위원회에서는 그 주장을 인정하지는 않았습니다.

<질문> 안녕하세요? 개인 처벌 규모가 궁금해서요. 지금 개인 처벌, 책임자는 처벌할 수 있게 되어 있는데 징계권고, 개선권고만 나와 있고 규모는 안 나와 있어서 혹시,

<답변> 고발 등의 조치 사항은 저희 해당 사항이 지금 규정상 없는 것으로 확인했고요. 경찰이 이미 조사·수사한 사항이고, 저희 위원회에서 개인에 대해서 할 수 있는 사항은 징계권고가 가능하기는 합니다, 관련 책임자에 대해서.

그래서 어제 위원회에서도 저희가 여기 보도자료 3페이지에 있는 처분내용을 정리했듯이 관련한 책임자에 대해서 저희가 징계요구권은 없기 때문에 징계권고권밖에 없습니다. 그래서 법원 자체적으로 관련 사항을 확인하고 징계 조치를 하는 것을 검토하도록 징계권고를 했습니다.

<질문> 아까 처음에 북한발 해킹 말씀하셨는데 이것도 북한발 해킹으로 인한 유출로 확인이 된 건가요?

<답변> 경과를 다시 말씀드리면 작년, 2024년 5월에 경찰청 등 관계기관의 조사 결과, 수사 결과가 1차로 발표가 됐고요. 그때 북한 해킹그룹에 의해서 법원 전산망, 이 사건의 내용엔 1,014GB 정도의 데이터가 외부로 유출된 사실은 확인을 했고, 그중에 4.7GB가 복원이 가능한 것까지는 확인을 해서 그다음에 법원 측에 관련 사항에 대해서 후속 조치하도록 내려졌고요.

저희는 그 이후에 실제 4.7GB에 대한 개인정보 유출이 있었는지를 다 복구해서 확인한 다음에 유출되게 된 경위 이런 것을 따져서 개인정보법 위반이 있다는 걸 확인하고 후속 조치로 이루어지게 된 같은 사건입니다. 그러니까 쉽게 말해서 작년 5월에 경찰이 발표한 북한발 해킹 사건에 대한 후속 조치를 저희가 개인정보법 위반으로 법원행정처에 추가로 하게 된 건입니다.

<질문> 복원 규모가 250분의 1만 복원해서 확인을 하신 거잖아요. 그러면 거기서 1만 8,000명 정도 나왔으면 그러면 실제로 유출된 거는 수백 배 많다는 이야기 아니에요?

<답변> 소송 문서에 쓰인 자료 등이 다양하기 때문에 일률적으로 비교할 수는 없지만 상당한 규모의 개인정보가 포함됐을 것으로 유추는 하고 있습니다.

<질문> 과장님 대상 질문이 아닐 수도 있을 것 같은데 다른 기자들도 궁금해 하실 것 같아서요. 원래 1번 안건 관련해서 과장님 브리핑해 주신 거고 2번 안건은 회의 과정에서 공지는 해 주셨지만 피심인에게 충분한 진술 기회를 부여하기 위해서 오늘 회의가 연기됐다, 라고 공지가 됐는데 혹시 이거 관련해서 부연해 주실 수 있으실지도, 어려우시면 답 안 해 주셔도 되고요.

<답변> 대변인실에서 별도로 안내 말씀...

<답변> (사회자) 그거는 일단 저희가 전체회의가 완료되지 않은 엠바고 사항이기 때문에 그거는 지금, 어제 회의 과정에서 길어져서 좀 더 논의를 해야 되는 부분이 있어서 그런 겁니다. 그거는 이해해 주십시오.

<질문> 안녕하세요? 처음의 질의응답에서 구법 기준으로 공공기관 중에서는 역대 가장 큰 과징금 규모라고 설명해 주셨는데 이게 다른 민간기업들에 대한 처분에 비해서는 조금 적은 액수라고 생각이 드는데 이게 법원에서 과징금 내는 게 어차피 세금이라서 조금 경감 사유에 포함되는 건지, 어떻게 되는 건지 궁금합니다.

<답변> 경감 사유와는 전혀 관련은 없습니다. 세금... 다만, 공공기관 등 아까 말씀하신 것처럼 민간기업 같은 거는 정률과징금, 매출액의 몇 퍼센트를 기준으로 하는 과징금이 통상 부과되는데 국가기관 같은 경우는 그런 회계상 수입이라든가 이런 게 없다 보니까 정액과징금을 부과하는 체제로 운영되고는 있습니다.

그래서 여러 가지 저희도 의견들을 고려해서 여기 과징금을 부과하긴 했지만 공공기관에 대해서는 징계 조치라든지 기타 행정적 제재 사항 등을 계속 강화시키고 모니터링을 확대하는 방안으로 저희가 업무를 계속해 오고는 있습니다.

<질문> 지금까지 4.7GB 복원됐다고 말씀하셨는데 추가로 복원하거나 다른 방식으로 복원할 수 있는 방안 이런 건 없는지 궁금합니다.

<답변> 작년 경찰 수사 결과 발표됐을 때 해킹된 다음에 국내외 8개 서버에 1,014GB를 전송하고 활용했는데 실제로는 다 삭제가 돼서 저희가 확인할 수 있는 내용은 4.7GB가 전부입니다.

<질문> 혹시 이번 해킹으로 인한 뭔가 2차 피해나 이런 게 보고된 게 있을까 해서요.

<답변> 저희가 조사 과정에서 확인은 못 했지만 유념하고 있습니다. 워낙 또 많은 규모가 또 넘어왔기 때문에, 그런 데 사항은 또 추가적으로 확인된다면, 현재까지는 확인된 건 없습니다, 조사 과정에서.

<질문> (온라인 질의 대독) 그러면 현장 질문이 어느 정도 정리된 관계로 문자 보내주신 질문을 읽도록 하겠습니다. 먼저, 한국일보 기자 질문은 아까 조사총괄과장이 답변해 주신 바, 공공기관 과징금 규모가 가장 큰 것 같은데 역대 최대 금액인 질문은 갈음이 된 것 같고요.

두 번째, 문화일보 기자가 '법원행정처로부터 2023년도 12월 개인정보 유출 사실을 신고받은 당국이 경찰인지 아니면 저희 개인정보위원회인지?'라고 질문이 있습니다.

<답변> 유출 신고는 저희한테 하게 되어 있습니다. 경찰은 별도로 수사를 했던 사항이고요. 유출 신고 자체는 개인정보보호위원회에 하게 되어 있습니다.

<답변> (사회자) 그러면 더 이상 질문이 없으시면 이상으로 오늘 브리핑을 마치도록 하겠습니다. 참석해 주셔서 감사합니다.

<답변> 감사합니다.

<끝>

이전다음기사