개인정보보호위원회가 '정부24'에서 생활기록부와 졸업증명서, 납세증명서 등이 유출되는 사고를 낸 행정안전부에 과징금 2억7000만원을 부과했다.
개인정보위는 전날 열린 전체회의에서 행안부를 비롯해 농촌진흥청·국립농업과학원·국립축산과학원, 수탁업체 미소테크에 대한 제재 처분을 의결했다고 28일 밝혔다.
행안부가 운영하는 통합행정 서비스 포털인 정부24에서는 2024년 4월 교육부 NEIS(나이스) 연계 민원서류와 국세청 납세증명서 관련 소스코드 개발 오류로 1233명의 개인정보가 타인에게 공개되는 사고가 발생했다. 또한 지난해 5월 정부24 홈페이지에서 제공하는 주민등록증 발급상황 조회 서비스에 존재하는 인증 취약점 때문에 주민등록증 발급상황 4건이 타인에게 조회됐다.
구체적으로 생활기록부와 졸업증명서 등이 유출되면서 성명, 생년월일, 학교정보(646명) 등이 노출됐고, 납세증명서 유출로 법인 대표자의 성명과 주민등록번호(587명)도 함께 공개됐다.
개인정보위 조사 결과 행안부는 정부24를 운영하면서 국세 납세증명서 서식 변경을 위해 개발한 소스코드와 관련해 '개인 발급'에 대해서만 테스트하고 '법인 발급' 테스트는 누락하는 등 점검을 소홀히 했다. 또한 '주민등록증 발급 상황' 조회 서비스에 사용된 본인인증 모듈의 취약점을 발견·조치하지 않은 것으로 확인됐다. 더불어 교육부 NEIS 연계 민원 관련 유출 사실을 2024년 4월 당시 인지했으나 정당한 사유 없이 72시간이 지나 통지해 과징금 총 2억7300만원과 과태료 300만원을 부과했다.
또 공유누리 홈페이지 업무게시판을 내부용으로 운영하면서 접근통제 조치를 제대로 하지 않은 점과 관련해서는 별도로 과태료 450만원 부과와 공표를 의결했다.
이 밖에도 농촌진흥청, 국립농업과학원, 국립축산과학원과 수탁업체인 미소테크에 과징금 2억7360만원과 과태료 450만원을 부과했다.
농촌진흥청 및 소속기관으로부터 시스템 유지·관리 등을 위탁받은 미소테크의 네트워크 저장장치(NAS)에 저장된 개인정보를 신원 미상의 해커가 탈취해 다크웹에 게시한 것으로 확인됐다. 해당 NAS에는 개인정보 57만5000여 건(중복 포함)이 포함돼 있었다. 수탁업체인 미소테크가 위탁받은 개인정보를 자체 NAS에 무단으로 보관했고, 해당 NAS를 외부 IP로 접근 가능한 상태로 운영하면서 접근통제에 필요한 조치가 미흡했다는 분석이다.
위탁자인 농촌진흥청 등도 용역사업 종료 시 수탁업체인 미소테크로부터 '자료미보유확약서'만 수령하고 노트북·외장하드 등에서 개인
정보가 파기됐는지 여부는 점검·확인하지 않았다. 또한 수탁업체의 개인정보 보유 현황, 업무처리 환경 등을 파악·통제하지 못하는 등 수탁자 관리· 감독에 소홀한 사실이 드러났다.
개인정보위는 "이번 처분은 공공기관 정보화사업 과정에서 발생한 개인정보 유출 사고의 책임을 보다 구체적으로 확립했다는 점에 의의가 있다"고 밝혔다.