개인정보위, 공무원연금공단·강북구청에 과징금·과태료 9억 부과

외부인이 업무 시스템 접속…개인정보 무단 열람·다운
연금공단 5.3억원·강북구청 3.8억원 과징금

개인정보보호위원회는 개인정보 보호법을 위반한 공무원연금공단과 서울 강북구청 등 2개 공공기관에 과징금과 과태료 총 9억1480만원을 부과하는 처분을 의결했다고 26일 밝혔다.

이에 따라 공무원연금공단은 5억3220만원의 과징금과 징계권고, 공표, 공표명령 처분을, 강북구청은 과징금 3억7800만원과 과태료 480만원, 시정권고, 공표, 공표명령 처분을 받게 됐다.

개인정보보호위원회 로고. 개인정보보호위원회

공무원연금공단은 2022년 4월부터 2023년 10월까지 외부인이 연금업무지원시스템(현 지능형연금복지시스템)에 접속해 공무원 1036명의 인사기록카드, 소득 및 기여금 납부내역 등 개인정보를 무단 열람했다. 연금업무지원시스템은 공무원의 연금 가입 관리, 연금액 산출, 퇴직급여 심사 등을 위한 시스템으로, 연금담당자가 소속 공무원의 주민등록번호·소득자료·주소 등을 볼 수 있다.

조사 결과, 공무원연금공단은 신청서에 신청자 서명·기관장 직인 누락, 위조 직인 날인 등 의심 정황이 있었음에도 해당 문서의 진위 검증을 제대로 하지 않은 채 5차례의 권한 신청을 모두 승인한 것으로 확인됐다. 아울러 전보, 업무 변경 등으로 연금담당자 권한을 상실한 자의 시스템 접근 권한을 즉시 말소하지 않은 데 더해 시스템 접속기록을 제대로 보관·관리하지 않았고, 각 기관 연금담당자들의 접속기록 점검도 소홀히 한 것으로 나타났다.

강북구청의 경우 해커가 2024년 3월 강북구청이 운영하는 영상정보제공시스템 관리자페이지에 접속해 경찰 등 공무원 973명의 이름, 인증정보(아이디, 비밀번호), 소속 등 개인정보를 다운로드했다.

조사 결과, 강북구청은 개인정보처리시스템 접속을 IP 주소 등으로 제한하지 않았다. 인터넷(외부망)으로 시스템에 접속할 때도 안전한 접속 수단 또는 인증수단을 적용하지 않아 해커의 불법 접근이 가능했다. 아울러 안전하지 않은 암호화 알고리즘으로 비밀번호를 암호화하고 취급자의 접속기록을 1년 이상 보관·관리하지 않았으며, 유출통지 항목을 일부 누락한 사실도 확인됐다.

개인정보위 관계자는 "이번 2개 기관의 유출 사고는 보호법상 기본적인 안전조치 의무 소홀에 따른 것으로 공공기관은 개인정보처리시스템에 대한 안전조치 의무 준수를 위한 각별한 주의가 필요하다"면서 "이번 사건을 계기로 개인정보위는 지방자치단체의 안전조치 의무 준수 여부를 확인하도록 지속 계도할 예정"이라고 밝혔다.

이명환 기자 lifehwan@asiae.co.kr

이 기사 어땠나요?

• 
  쏠쏠 0
• 
  공감 0
• 
  감동 0
• 
  유감 0
• 
  후속 0