해커에 취준생 730만명 정보 다 털렸다…인크루트 과징금 4억6300만원

협박메일 받고 나서야 유출 사실 인지
CPO 선임, 재발방지책 마련 시정명령

안전조치 의무를 소홀히 해 취업 준비생 730만명의 개인정보를 유출한 인크루트에 4억6300만원의 과징금이 부과됐다.

개인정보보호위원회는 22일 전체회의를 열고 개인정보보호 법규를 위반한 인크루트에 대해 4억6300만원의 과징금을 부과하고 전문 최고개인정보보호책임자(CPO)를 신규 지정할 것을 시정명령했다.

온라인 취업포털 사이트를 운영하는 인크루트는 지난 2월 해킹으로 전체회원 730여만명의 개인정보가 유출됐다. 인크루트는 2023년 7월에도 개인정보 유출로 제재처분(과징금 7060만원)을 받은 바 있다.

이번 사건을 보면, 해커는 지난 1월 인터넷망에 접속한 인크루트 직원의 업무용 PC에 악성코드를 감염시켰다. 이후 해커는 개인정보취급자의 DB 접속계정을 탈취해 내부시스템에 침투했다.

이를 통해 전체회원 727만5843명의 개인정보와 회원 개인저장 파일 5만4475건 등 총 438GB에 달하는 정보가 한 달여에 걸쳐 유출됐다.

유출된 정보는 회원의 이름, 성별, 휴대전화번호, 학력, 경력, 사진, 장애·병력·고용지원금 대상여부 등 18개 항목이며 유출된 파일은 이력서와 자기소개서, 자격증사본 등이 해당된다.

조사 결과, 인크루트는 업무시간 외 비정상적인 DB 접속기록과 비정상적인 대용량 트래픽이 발생했음에도 대응을 소홀히 했다. 그로부터 약 두 달이 지난 후 해커의 협박 메일을 수신하고 나서야 유출 사실을 인지한 것이다. 개인정보취급자의 컴퓨터에 대한 인터넷망 차단 조치도 하지 않은 사실도 드러났다.

개인정보위는 반복적 위반에 대해 법을 엄격히 적용해 4억6300만원 과징금을 부과하고, 처분 사실을 홈페이지에 공표할 것을 명령했다.

또한 전문 CPO를 신규 지정하고 CPO의 책임과 역할을 명확히 할 것을 시정명령했다. 정보주체를 위한 피해회복 지원을 포함한 구체적인 재발방지 계획을 마련해 60일 이내에 개인정보위에 보고할 것도 시정명령에 포함됐다.

김보경 기자 bkly477@asiae.co.kr