![박영수 개인정보위 조사1과장이 브리핑 하고 있다 [사진 : 개인정보위]](https://cdn.digitaltoday.co.kr/news/photo/202103/266603_224257_4412.jpg)
[디지털투데이 백연식 기자] 회원과 건강검진 대상자의 주민등록번호를 유출하는 등 개인정보 보호법규를 위반한 대우세계경영연구회, 의료법인 하나로의료재단에 총 6625만원의 과징금·과태료 부과 등 시정조치가 내려졌다.
개인정보보호위원회는 10일 오전 제4회 전체회의를 개최해 2개 사업자에 대한 제재 처분을 의결했다. 이번 조사는 해당 사업자의 개인정보 유출 신고로 시작됐다고 개인정보위는 설명했다.
대우세계경영연구회는 한국인터넷진흥원(KISA)의 점검(모니터링) 과정에서 누구나 누리집(홈페이지)을 통해 회원의 개인정보를 내려받을 수 있다는 사실이 발견됐고, 하나로의료재단은 외부기관의 개인정보 탐지도구(툴)에서 주민등록번호가 검출됐다.
사업자들은 한국인터넷진흥원의 통보를 받고서야 유출사실을 확인하고 당국에 신고했다.
박영수 개인정보위 조사1과장은 전체 회의 이후 정부서울청사에서 열린 브리핑을 통해 “한국인터넷진흥원에 보면 침해 탐지를 담당하는 파트가 있고 침해 탐지하는 팀에서는 주기적으로 각 상황에 대해서 모니터링을 하고 있다”며 “그 모니터링 하는 과정에서 대우세계경영연구회 같은 경우에는 그 홈페이지가 열려 있다는 사실을 확인을 했고 그것을 대우세계경영연구회에다가 통보해서 본인들이 확인하게 했고, 확인된 사실에 대해서 현장조사를 나가서 보완조치 및 지도까지 같이 했다”고 말했다.
대우세계경영연구회는 연구 및 자문, 전문인력 양성지원, 평생교육시설 등의 사업을 운영하는 사단법인으로서, 누리집 내 회원의 개인정보를 조회하고 내려받기(다운로드) 할 수 있는 웹페이지를 접근통제 하지 않아, 권한없는 자가 해당 웹페이지에 접속해 회원정보를 내려받은 것으로 밝혀졌다.
누리집에 대한 접근권한 관리 부실, 주민등록번호 등에 대해 안전하지 않은 암호 연산방식(알고리즘) 사용 등으로 회원의 개인정보 5669건(주민등록번호 4182건 포함)이 유출되는 결과를 초래했다.
또한, ▲법적 근거 없이 주민등록번호 처리 ▲개인정보 수집 동의 항목 누락 ▲보유기간이 지난 개인정보 미파기 ▲유출 사실 통지 항목 누락 ▲업무 위탁 시 개인정보 처리 누락 등의 위반이 있었던 사실도 확인했다.
하나로의료재단은 환자의 진료 및 건강검진을 하는 의료법인으로서, 엑셀자료(파일) 별도 영역에 개인정보가 담겨진 사실을 모르고 장기간 사용하다 해당 자료를 외부기관에 전송하는 과정에서 건강검진 대상자의 개인정보 1147건(주민등록번호 1139건 포함)이 유출됐다.
또한, 운영 중인 검진관리시스템에서 접근권한 및 접속기록 관리 부실, 불안전한 암호 연산방식 사용 등 안전성 확보 조치를 소홀히 하고 있던 사실도 확인했다.
개인정보위는 개인정보 보호법규를 위반한 2개 사업자에 대해 과징금 및 과태료 부과, 개선권고 등 처분을 했다.
과징금은 행정위반에 대한 이익의 환수 성격까지 갖고 있다. 과태료는 그냥 위반행위, 당사자의 사정을 보지 않고 위반행위 자체에 대해서만 벌칙 성격의 과금을 하는 것이라고 보면 된다.
박 과장은 “다만, 주민등록번호에 대해서는 여러 설들이 있는데 이익 환수 부분이 같이 들어가 있느냐, 아니냐라는 의견도 있다”고 부연했다.
개인정보위는 대우세계경영연구회에 대해서는 주민등록번호 유출 및 안전성 확보 조치 위반으로 과징금 2437만5000원을 부과하고, 그 밖에 법적 근거 없는 주민등록번호 처리 등 위반에 대해 과태료 1600만원을 부과했다.
하나로의료재단에는 주민등록번호 유출 및 암호화 조치 위반으로 과징금 1687만5000원, 검진관리시스템 안전성 확보 조치 위반에 대해 과태료 900만원을 부과하고 임직원들이 정기적인 개인정보 보호 교육을 받도록 개선권고 했다.
하지만 개선 권고에 대해서는 강제할 수단은 없다. 이에 대해 박 과장은 브리핑에서 “개선 권고라는 이 자체가 위반행위를 적시해서 거기에 처분이 아니고 개인정보를 침해할 가능성이 있는 이런 부분에 대해서 개선하라고 하는 것”이라며 “개선 권고조치 명령을 내릴 때 거기에 따른 이행사항도 개인정보위가 확인을 하게 돼 있다. 확인하는 과정에서 그게 준수될 수 있도록 정부가 지도·감독하도록 하겠다”고 말했다.
이어 “주민등록번호 등의 개인정보는 개인정보처리시스템은 물론 개개인이 가지고 있는 개별파일을 통해 관리되고 있으므로 주요 자료에 대해서는 반드시 암호화하는 등 안전성 확보 조치를 철저히 해 주기 바란다”며 “특히 기관의 모든 임직원이 개인정보에 대한 경각심을 놓지 않도록 정기적인 교육과 점검을 실시해주실 것을 당부한다”고 전했다.
송상훈 개인정보위 조사조정국장은 “주민등록번호는 개인의 신원을 명확히 구분할 수 있는 중요한 개인정보로 유출될 경우 범죄 등에 악용될 가능성이 많은 만큼 철저한 관리가 필요하다”며 “이번 사례와 같이 개인정보처리시스템은 물론 엑셀자료 등 개별자료에도 중요한 개인정보가 있을 수 있으므로 주요 자료의 암호화 등 안전성 확보 조치를 철저히 하고 임직원 교육 등을 통해 사소한 부주의도 없도록 해 달라”고 당부했다.