개인정보보호위원회는 지난 3월 25일 열린 제5회 전체회의에서 개인정보 보호법을 위반한 2개 공공기관에 대한 제재를 의결했다.

이번 조치는 공공기관의 개인정보 관리 부실로 인해 대규모 정보 유출 및 무단 열람이 발생한 데 따른 것으로, 기본적인 보안 조치 미흡이 주요 원인으로 지목됐다.

먼저 공무원연금공단에서는 2022년 4월부터 2023년 10월까지 외부인이 연금업무지원시스템(현 지능형연금복지시스템)에 접속해 공무원 1,036명의 인사기록과 소득, 기여금 납부 내역 등을 무단으로 열람한 사실이 확인됐다.

조사 결과, 공단은 신청서 서명 누락이나 직인 위조 의심 등 명백한 이상 징후가 있었음에도 이를 제대로 검증하지 않은 채 총 5차례에 걸쳐 접근 권한을 승인한 것으로 드러났다.

이뿐만 아니라 인사 이동 등으로 권한이 불필요해진 사용자에 대한 접근 권한을 즉시 회수하지 않았고, 접속 기록 관리 및 점검도 부실했던 것으로 나타났다.

이에 개인정보위는 접근권한 관리 및 접속기록 보관 의무를 위반한 공무원연금공단에 과징금 5억 3,200만 원을 부과하고, 징계 권고와 함께 공표 및 공표명령 조치를 결정했다.

또 다른 사례로 강북구청은 2024년 3월, 해커가 영상정보제공시스템 관리자 페이지에 침입해 경찰 등 공무원 973명의 이름과 계정 정보(ID·비밀번호), 소속 정보 등을 내려받는 사고가 발생했다.

조사 결과 해당 시스템은 외부 접속 제한이 제대로 설정되지 않았고, 안전한 인증 절차도 적용되지 않아 해킹에 취약한 상태였던 것으로 확인됐다.

더불어 비밀번호 암호화 방식 역시 안전성이 낮았으며, 접속 기록을 일정 기간 이상 보관하지 않은 점과 개인정보 유출 통지 과정에서 일부 항목을 누락한 사실도 드러났다.

개인정보위는 이에 따라 강북구청에 과징금 3억 7,800만 원과 과태료 480만 원을 부과하고, 누락된 유출 통지 항목에 대한 보완 조치를 권고했다. 또한 해당 사실을 공표하도록 명령했다.

개인정보위는 이번 사례가 모두 기본적인 안전조치 의무를 소홀히 한 데서 비롯된 점을 강조하며, 대량의 개인정보를 처리하는 공공기관의 책임 있는 관리 필요성을 재차 강조했다.

특히 향후 지방자치단체를 대상으로 개인정보 처리 시스템의 관리자 페이지 외부 노출 여부 등 보안 취약점 점검을 지속적으로 강화할 방침이다.

결국 문제는 ‘기술’이 아닌 ‘관리’였다. 반복되는 공공기관 개인정보 사고를 끊기 위해선 형식적인 점검이 아닌 실질적인 책임 강화가 필요해 보인다.

[비즈데일리 유정흔 기자]