개인정보보호위원회가 인사기록 무단 열람과 해킹으로 인한 개인정보 유출 사고와 관련해 공무원연금공단과 강북구청에 총 9억원 규모의 과징금과 과태료를 부과했다.
26일 개인정보보호위원회는 전날 열린 제5회 전체회의에서 공무원연금공단에 과징금 5억3200만원을, 강북구청에 과징금 3억7800만원과 과태료 480만원을 부과하기로 의결했다고 밝혔다.
조사 결과 공무원연금공단에서는 2022년 4월부터 2023년 10월까지 외부인이 연금업무 시스템에 접속해 공무원 1036명의 인사기록과 소득, 기여금 납부 내역 등을 무단 열람한 것으로 나타났다.
공단은 신청서에 서명이나 직인이 누락되거나 위조 정황이 있었음에도 이를 제대로 확인하지 않고 권한 신청을 승인했으며, 업무 변경 등으로 권한이 필요 없어진 이용자의 접근 권한도 즉시 회수하지 않은 것으로 드러났다. 또한 접속 기록 관리와 점검도 부실했던 것으로 확인됐다.
강북구청에서는 2024년 3월 해커가 시스템 관리자 페이지에 접근해 경찰 등 공무원 973명의 이름과 아이디, 비밀번호 등 개인정보를 탈취했다.
구청은 IP 제한이나 추가 인증 없이 외부 접속을 허용했고, 취약한 암호화 방식과 부실한 접속 기록 관리 등 기본적인 보안 조치를 제대로 이행하지 않은 것으로 조사됐다. 유출 통지 과정에서도 일부 항목을 누락한 사실이 확인됐다.
개인정보위는 두 기관에 대해 징계 권고와 함께 공표 조치도 결정했으며, 강북구청에는 누락된 유출 통지 항목을 포함해 재통지할 것을 요구했다.
개인정보위는 "기본적인 안전조치 의무 소홀로 발생한 사고"라며 공공기관의 개인정보 보호 관리 강화를 당부했다.