개인정보보호법을 위반한 행정안전부와 농촌진흥청 등 4개 공공기관과 수탁업체 1곳이 총과징금 5억 4660만 원과 과태료 1200만 원을 부과받았다.

개인정보보호위원회는 지난 27일 정부서울청사에서 제10회 전체회의를 열고, 행정안전부와 농촌진흥청, 국립농업과학원, 국립축산과학원, 미소테크 등 5곳에 대해 이같은 처분을 의결했다고 28일 밝혔다.

우선 행정안전부에는 과징금 2억 7300만 원과 과태료 750만 원을 부과하고, 프로그램 개발 관련 사전검토 강화에 대한 시정권고와 처분 결과의 공표 및 공표명령을 의결했다.

행안부는 통합행정 서비스 포털인 정부24를 운영하고 있는데, 2024년 4월 정부24를 통해 발급받을 수 있는 교육부 나이스(NEIS) 연계 민원서류 및 국세청 납세증명서 관련 소스코드 개발 오류로 1233명의 개인정보가 타인에게 공개되는 등 개인정보가 유출됐다.

2025년 5월에는 정부24 홈페이지에서 제공하는 주민등록증 발급상황 조회 서비스에 존재하는 인증 취약점 때문에 주민등록증 발급상황 4건이 타인에게 조회됐고, 공유누리 홈페이지 '업무게시판'에 게시된 공공주차장 담당자 파일이 구글 검색에 노출되기도 했다.

유출항목에는 생활기록부 등과 주민등록번호, 주민등록증 발급상황, 공유누리 업무게시판에서 이름과 소속기관정보 등이 담겼다.

개인정보위 조사 결과, 행안부는 국세 납세증명서 서식 변경을 위해 개발한 소스코드에 관해 점검을 소홀히 하고, 주민등록증 발급 상황 조회 서비스에 사용된 본인인증 모듈의 취약점을 발견·조치하지 않았다.

나이스 연계 민원 관련 유출 사실도 2024년 4월 1일 인지했으나 정당한 사유 없이 72시간이 지난 4월 11일부터 22일까지 해당 사실을 통지했고, 개인정보처리방침에 위탁업무와 수탁자를 공개하면서 수탁업체 메타빌드를 약 8개월 간 누락했다.

또한 개인정보위는 농진청에 과징금 1억 6800만 원 및 시정권고, 공표 및 공표명령을, 농업과학원에는 과징금 2310만 원과 시정명령 및 공표, 축산과학원에는 시정명령을, 미소테크에는 과징금 8250만 원과 과태료 450만 원, 공표명령을 의결했다.

지난해 4월 7일 농진청 및 소속기관으로부터 시스템 유지·관리 등을 위탁받은 미소테크의 네트워크 저장장치(NAS)에 저장된 개인정보를 신원 미상의 해커가 탈취해 다크웹에 게시했기 때문이다.

이 NAS에는 개인정보 57만 5000여 건(중복 포함)이 포함돼 있었다. 유출항목에는 이름, 주소, 연락처, 이메일, 직장, 과학기술인번호, 농장정보 등이 담겼다.

조사 결과, 미소테크는 위탁받은 개인정보를 자체 NAS에 2020년 5월부터 2025년 4월까지 무단 보관했고, 이 NAS를 외부 IP로 접근할 수 있는 상태로 운영하면서 관리자 계정의 아이디와 비밀번호만으로 접근할 수 있도록 설정하는 등 접근통제 조치를 미흡하게 했다.

위탁자인 농진청 등도 용역사업 종료 시 미소테크로부터 '자료미보유확약서'만 수령하고 노트북·외장하드 등에서 개인정보가 파기됐는지 여부는 점검·확인하지 않았다. 수탁업체의 개인정보 보유 현황, 업무처리 환경 등을 파악·통제하지 못하는 등 수탁자 관리·감독에 소홀한 사실도 드러났다.

lgirim@news1.kr