개인정보위, 행정안전부, 농촌친흥청 등에 과징금

[보안뉴스 한세희 기자] 민원 포털 정부24를 운영하며 시스템 관리를 소홀히 해 개인정보 유출 사고가 난 행정안전부가 2억7300만원의 과징금을 물게 됐다. 농촌진흥청 및 소속 기관 2곳 등도 개인정보보 보호법 위반으로 과징금 처분을 받았다.

개인정보보호위원회(위원장 송경희)는 전체회의에서 개인정보보호법을 위반한 4개 공공기관에 대한 처분을 의결했다고 28일 밝혔다.


▲송경희 개인정보위 위원장이 27일 열린 전체회의에서 발언하고 있다.[출처: 연합]

2024년 4월 행안부가 운영하는 통합행정 서비스 포털 정부24에서 발급받을 수 있는 교육부 NEIS 연계 민원서류와 국세청 납세증명서 관련 소스코드 개발 오류로 1233명의 개인정보가 타인에게 유출됐다.

작년 5월엔 정부24 주민등록증 발급상황 조회 서비스의 인증 취약점으로 주민등록증 발급상황 4건이 다른 사람에게 조회됐다. 홈페이지 업무게시판에 올린 ‘공공주차장 담당자’ 파일이 구글 검색에 노출되는 일도 있었다.

행안부는 정부24 소스코드와 관련, ‘개인 발급’에 대해서만 테스트하고 ‘법인 발급’ 테스트는 누락하는 등 점검을 소홀히 한 것으로 나타났다. 주민등록증 발급 상황 조회 서비스에 사용된 본인인증 모듈의 취약점을 찾아 조치하지도 않았다. NEIS 연계 민원 관련 유출 사실을 인지하고도 정당한 이유 없이 72시간 내 신고하지 않은 것도 문제였다.

개인정보위는 행안부에 과징금 2억7300만원과 과태료 300만원을 부과헀다. 소스코드 개발 오류, 보안 취약점 미조치 등 시스템 문제로 유출이 발생한 경우, 이 시스템에 대한 최종 책임 주체인 공공기관에 안전조치의무 위반 책임이 있다는 설명이다.

농촌진흥청과 국립농업과학원, 국립축산과학원은 위탁업체 관리 소홀로 개인정보를 해킹 당해 과징금 등 처분을 받았다. 이들 기관 시스템 유지관리를 맡은 미소테크가 개인정보를 자체 네트워크 저장장치(NAS)에 무단 보관한 것이 사고 원인이었다. NAS에 외부 IP로 접근할 수 있었고, 관리자 계정 아이디와 비밀번호만으로 접속할 수 있게 하는 등 접근통제가 미흡했다.

농촌진흥청 등도 용역사업 종료 때 미소테크로부터 ‘자료미보유확인서’만 받고 노트북이나 외장하드에서 개인정보가 파기됐는지는 제대로 확인하지 않았다.

개인정보위는 미소테크에 과징금 8250만 원, 과태료 450만원을 부과했다. 농촌진흥청엔 과징금 1억6800만원 등의 처분을 부과했다. 국립농업과학원은 2310만원의 과징금을 물게 됐다.

[한세희 기자(hahn@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>