한국노동연구원서 개인정보 3만건 유출…일주일 지나 알았다(종합)

7일 지나셔야 유출 인지…2차 유출 우려 없어

[아시아경제 김민영 기자] 한국노동연구원 홈페이지에서 3만건에 달하는 개인정보가 유출된 것으로 확인됐다. 해킹이 아닌 업무 담당자의 단순 실수에서 비롯된 유출사고라는 점에서 허술한 개인정보 관리에 대한 비판이 제기되고 있다.

23일 한국노동연구원에 따르면 자사 홈페이지 보완 작업 중 담당자의 실수로 지난 10일 오후 3시께 3만건(중복회원 포함)의 개인정보가 담긴 데이터베이스(DB)가 홈페이지 업무를 담당하는 용역업체에 발송됐다. 중복 가입한 회원수를 빼도 유출 규모는 1만7000건에 달한다. 유출 대상도 광범위했다. 도서고정배부, 정책수요조사 발송명단, 학술대회 참가자 명단, 토론세미나 접수 명단 등 11개로 분류된 회원들의 개인정보가 유출됐다. 개인회원의 경우 아이디, 우편번호, 기본주소, 상세주소, 휴대폰번호, 전화번호 ,이메일 등의 정보가 노출됐으며 결제목록에 있는 개인의 경우 신용카드 번호와 무통장계좌번호, 무통장예금자명, 무통장송금자명까지 포함됐다. 노동연구원은 이 같은 사실을 개인정보가 유출된 지 일주일이 지난 17일에서야 인지했다. 내부서버의 차단 서비스를 주기적으로 확인하는 과정에서 외부 IP가 서버에 접근을 시도한 사실을 알았기 때문이다.

이 같은 사실이 드러나기 전까지 메일을 발송한 내부직원도 용역업체도 이를 까맣게 몰랐다는 얘기다. 개인정보를 다루는 홈페이지 관리자의 인식이 너무 안일한 것 아니냐는 지적이 나온다. 노동연구원은 홈페이지 DB가 용역업체로 발송된 사실을 인지하자마자 메일 삭제 및 홈페이지 담당자 PC에 담긴 DB파일을 삭제했다고 해명했다. 용역업체가 받은 개인정보 파일에 첨부된 메일을 삭제하고 용역업체 PC에 저장된 파일도 삭제했다고 밝혔다. 메일을 받은 용역업체 직원에게 2차 유출 여부 경위서도 받았다. 노동연구원 관계자는 "파일이 저장된 하드디스크드라이브(HDD)를 회수하고 영구 삭제 작업을 진행, 2차 유출 가능성을 차단했다"고 설명했다.

하지만 정보가 유출된 사실을 7일이 지나서야 인지했다는 점에서 늑장 대응 지적도 나온다. 개인정보 유출 사실을 즉각 알리지 않고 닷새가 지난 22일에서야 개인회원들에게 메일을 발송한 점도 석연치 않다. 이와 관련해 한노원 관계자는 "내부적으로 개인정보 유출 대상자가 누구인지 추출하고, 보안조치 등을 하느라 회원에게 공개가 늦어졌다"며 "이 같은 사실을 알자마자 부원장이 직접 인터넷진흥원에 신고하고 사과문을 올렸다"고 말했다.

한노원은 향후 행정안전부의 조사를 받을 방침이다. 개인정보보호법에 따르면 개인정보 유출 시 5일 이내에 인터넷진흥원에 신고해야 한다. 이를 어길 시 과태료가 부과된다. 22일 한노원으로부터 신고를 받은 인터넷진흥원이 행안부에 보고하면 행안부는 안전조치, 접근통제 조치, 개인정보 보호를 위한 시스템 관리 등에 대한 조사를 진행하게 된다.

한노원은 현재 피해 등 접수를 담당하는 정보전산팀에 신고하면 안내와 상담을 통해 구제절차를 안내하고 있다. 22일 기준 10건이 넘는 문의전화가 걸려왔다고 한노원은 전했다.

세종=김민영 기자 argus@asiae.co.kr