송경희 개인정보보호위원회 위원장. 2026.4.22 © 뉴스1 김명섭 기자
개인정보보호법을 위반한 KS한국고용정보, 듀오정보주식회사, 금릉공원묘원이 총 47억 8820만 원의 과징금과 1740만 원의 과태료를 부과받았다.
개인정보보호위원회는 지난 22일 제7회 전체회의를 열고, 해당 3개 사업자에 대해 이같은 제재와 시정조치 및 공표 명령을 의결했다고 23일 밝혔다.
아웃소싱 기업인 KS한국고용정보는 상담사, 본사직원 및 입사지원자 등 4만 875명의 개인정보가 유출됐다.
해커는 개인정보처리시스템 관리자 계정정보를 획득한 후 지난해 4월 15일 관리자 페이지에 접속해 이들의 이름, 주민등록번호, 휴대전화번호, 주소, 이메일, 계좌번호 등을 유출했다.
이 해커는 웹페이지의 취약점을 이용해 서버 내 각종 인사서류 파일 약 5만 건을 내려받아 유출하기도 했다.
해당 서류에는 KS한국고용의 상담사·직원 등이 입사·재직중 제출한 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등으로 본인의 정보뿐만 아니라 가족의 개인정보가 다수 포함돼 있었다.
이후 해커는 유출 정보를 다크웹에 게시하고 보유한 데이터베이스에 대한 거래를 시도한 것으로 확인됐다.
조사 결과 KS한국고용은 해당 처리시스템으로 일반 인사관리 기능과 콜센터 운영 관련 기능을 함께 운영하면서 접속 권한을 아이피(IP) 등으로 제한하지 않았고, 안전한 접속수단이나 인증수단을 적용하지 않았다.
인사증빙 서류 내 주민등록번호를 마스킹하거나 암호화 조치 없이 저장하는 등 안전조치 의무를 다수 위반했다.
입사지원자가 최종 합격해 직원이 되기 전까지는 주민등록번호를 처리할 수 없음에도 법적 근거 없이 일부 입사지원자의 주민등록번호를 수집·처리했다. 보유기간이 지난 퇴사자 및 교육생 2035명의 개인정보를 파기하지 않은 것도 확인됐다.
개인정보위는 KS한국고용에 과징금 35억 3700만 원, 과태료 420만 원을 부과하고, 개인정보처리시스템에 대한 접속기록 및 개인정보 다운로드 상황 주기적 점검, 개인정보 파기에 관한 지침을 수립·운영할 것을 명령했다. 처분 사실은 홈페이지에 공표하게 했다.
결혼정보업체 듀오는 전체 정회원 42만 7464명의 개인정보가 유출됐다. 해커는 지난해 1월 인터넷망에 접속한 듀오 직원 업무용PC에 악성코드를 감염시켰고, 데이터베이스(DB)서버 계정 정보 확인 후 회원 DB 서버에 접속해 이들의 개인정보를 내려받아 외부로 유출했다.
개인정보에는 ID, 비밀번호, 이름, 생년월일, 전화번호, 신장, 체중, 종교, 취미, 혼인경력, 형제관계, 학교명, 직장명 등이 담겼다.
조사 결과 듀오는 정회원의 개인정보가 저장돼 있는 회원DB에 접속할 때 일정 횟수 이상 인증 실패 시 접근제한 등의 조치를 설정하지 않았다. 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보조치 의무 위반도 확인됐다.
정회원 가입 시 주민등록번호를 별도 법적 근거 없이 수집·저장했으며, 보유기간이 지난 정회원 정보 29만 8566건을 파기하지 않은 것도 확인됐다.
듀오는 유출을 확인하고도 정당한 사유 없이 72시간이 지나 유출 신고를 했고, 결혼중개회사 특성상 구혼자의 삶과 성향이 담긴 민감한 정보를 다량 수집하고 있었다. 또 유출 사실을 정보주체에게 현재까지도 통지하지 않는 등 2차 피해 방지 대응에 소홀한 것이 확인됐다.
개인정보위는 듀오에 과징금 11억 9700만 원, 과태료 1320만 원을 부과했으며, 유출 통지 즉각 실시 및 안전조치 강화, 개인정보 처리 방식 점검 및 명확한 파기 지침 수립 등을 명령했다. 처분 사실은 홈페이지에 공표하도록 했다.
묘지 임대·관리 서비스업체인 금릉공원묘원은 이용자 5373명의 개인정보가 유출됐다. 해커는 웹사이트 내 관리비 조회·납부 페이지에 존재하는 파라미터 변조 취약점을 악용해 이름, 주민등록번호, 휴대전화번호 등 개인정보를 유출했다.
조사 결과 금릉공원묘원은 웹사이트 내 존재하는 파라미터 변조 취약점에 대한 점검·조치를 소홀히 했고, 인터넷망으로 개인정보 전송 시 암호화 통신 미적용, 주민등록번호 평문 보관 등 보호조치 의무를 위반한 사실이 확인됐다.
별도 법적 근거 없이 이용자의 주민등록번호를 신원 확인 목적으로 관성적으로 수집해 온 사실도 확인했다.
개인정보위는 금릉공원묘원에게 과징금 5420만 원을 부과하고, 개인정보처리시스템에 대한 취약점 점검, 개인정보 안전관리 체계를 강화할 것을 시정명령했다. 처분 사실은 홈페이지에 공표하도록 했다.
lgirim@news1.kr
