인크루트 회사소개. 인크루트 홈페이지 캡처
온라인 취업포털 ‘인크루트’가 730만여 명의 취업준비생 개인정보를 유출 당해 과징금 4억6300만 원물게 됐다.
개인정보보호위원회는 지난 22일 전체회의를 열고 개인정보 유출 사고를 일으킨 인크루트에 4억6300만 원 과징금을 부과하고 정보보호최고책임자(CPO) 신규 지정, 피해자 회복 지원 등 재발 방지 조치를 명령했다고 23일 밝혔다.
개인정보위에 따르면 지난해 1월 신원미상의 해커가 인크루트 직원 업무용 PC에 악성코드를 심은 뒤, 개인정보취급자 데이터베이스(DB) 접속 계정을 탈취해 내부 시스템에 침투했다. 이어 한 달에 걸쳐 회원 727만5843명 이름과 성별, 휴대전화 번호, 학력·경력·사진 등 개인정보와 이력서·자기소개서·자격증 사본 등 개인저장파일 5만4475건(총 438GB)을 탈취한 것으로 조사됐다.
인크루트는 해커의 협박 메일을 받은 올해 2월에서야 유출 사실을 인지했다. 업무시간 외 비정상적인 DB 접속 기록과 대용량 트래픽이 포착됐지만 별다른 조치를 하지 않았고, 개인정보취급자의 PC 역시 인터넷망과 분리되지 않은 상태였다.
인크루트는 2023년 7월에도 ‘크리덴셜 스터핑’ 공격으로 3만5076건 개인정보를 유출 당해 과징금 7060만 원과 과태료 360만 원을 부과받은 바 있다. 크리덴셜 스터핑은 다른 경로로 확보한 아이디와 비밀번호 목록을 무작위 입력해 로그인에 성공하면 정보를 빼가는 대량시도형 해킹 방식이다. 인크루트는 당시에도 대량 로그인 시도 IP를 탐지·차단하는 정책 등을 마련하지 않았다.
인크루트 개인정보 유출사고 개요. 개인정보보호위원회 제공
개인정보위는 3년 사이 두 차례나 대규모 개인정보 유출이 반복된 점을 중대하게 봤다. 과징금·과태료 외에 처분 사실의 홈페이지 공표와 CPO 신규 지정도 명령했다. 아울러 피해자 지원을 포함한 구체적 재발 방지계획을 60일 내 제출하도록 했다.
개인정보위는 “인크루트는 취업준비생의 기본 정보뿐 아니라 학력, 경력, 장애 여부, 병역사항 등 개인의 삶과 경력이 집약된 데이터를 보유하면서도 안전조치 의무를 소홀히 했다”며 “이전에도 유출 사고가 있었음에도 또다시 대규모 사고가 발생한 점을 엄중히 인식해 법이 허용하는 범위 내에서 엄정한 처분이 이뤄졌다”고 밝혔다.
개인정보위는 이처럼 유출이 반복되는 기업에 징벌적 효과가 있는 과징금 제도 개선안을 마련 중이다.
