정부24 홈페이지 캡처행정안전부가 운영하는 통합행정 서비스 포털 '정부24'에서 소스코드 개발 오류로 1233명의 개인정보가 유출되는 등 사고가 발생해 약 2억 7천만 원의 과징금이 부과됐다. 여기에는 생활기록부와 납세증명서 등 민감한 정보가 포함됐다.
농촌진흥청 및 소속기관도 시스템 유지·관리를 외부업체에 위탁했다가 개인정보가 해커에 의해 탈취돼 약 2억 7천만 원의 과징금이 부과됐다. 해당 저장장치에는 57만건의 정보가 포함된 것으로 파악됐다.
28일 개인정보보호위원회에 따르면, 위원회는 전날 제10회 전체회의를 열고 개인정보 보호법을 위반한 4개 공공기관과 수탁업체 1곳에 대한 처분을 의결했다.
위원회에 따르면, 행안부가 운영하는 정부24 포털은 2024년 4월 교육부 NEIS 연계 민원서류 및 국세청 납세증명서 관련 소스코드 개발 오류로 1233명의 개인정보가 타인에게 유출됐다.
유출 정보에는 생기부와 졸업증명서, 학교정보, 납세증명서, 주민등록증 발급상황 등 민감한 정보가 다수 포함된 것으로 나타났다.
또 지난해 5월 정부24 주민등록증 발급상황 조회 서비스에 존재하는 인증 취약점 때문에 주민등록증 발급상황 4건(사망자 1인 포함)이 타인에게 조회됐다.
이와 함께 공유누리 홈페이지 업무게시판에 게시된 '공공주차장 담당자' 파일이 구글검색에 노출되기도 했다.
행안부는 소스코드와 관련해 개인 발급에 대해서만 테스트하고 법인 발급 테스트는 누락한 것으로 조사됐다. 또 주민등록증 발급 상황 조회 서비스에 사용된 본인인증 모듈의 취약점을 발견·조치하지도 않았다.
더불어 교육부 NEIS 연계 민원 관련 유출 사실을 인지했음에도 불구하고 정당한 사유없이 72시간을 경과해 통지하고, 수탁업체 통보도 누락한 것으로 나타났다.
이에 개인정보위는 행안부에 과징금 2억 7300만 원과 과태료 300만 원을 부과하고, 공유누리 홈페이지 관련 보안 미조치에 대해 과태료 450만 원을 부과했다.
이와 함께 지난해 4월에는 농촌진흥청 및 소속기관으로부터 시스템 유지·관리 등을 위탁받은 미소테크의 네트워크 저장장치에 저장된 개인정보가 신원 미상의 해커에 의해 탈취돼 다크웹에 개시됐다.
유출된 정보에는 이름과 주소, 연락처, 직장 정보, 과학기술인번호 등이 포함됐다. 해당 저장장치에는 개인정보 57만 5천여 건이 포함돼 있었다.
조사 결과, 수탁업체인 미소테크는 개인정보를 자체 저장장치에 무단으로 보관했고, 해당 장치를 외부 IP로 접근 가능한 상태로 운영한 것으로 나타났다. 즉 관리자 계정의 아이디와 비밀번호만으로 접근이 가능할 수 있도록 한 것으로 확인됐다
위탁자인 농촌진흥청 등도 용역사업 종료 시 미소테크로부터 '자료미보유확약서'만 수령하고 개인정보 파기 여부는 확인하지 않았다. 수탁업체의 개인정보 보유 현황, 업무처리 환경 등도 파악·통제하지 못하는 등 관리·감독에 소홀한 사실도 확인됐다.
개인정보위는 안전조치의무 위반과 관련해 미소테크에 과징금 8250만 원과 과태료 450만 원을 부과했다. 수탁자 관리·감독 의무를 위반한 농촌진흥청에는 과징금 1억 6800만 원을 부과했다.