공무원연금공단 비자격자에 연금담당자 권한 부여, 접속기록 보관·관리 소홀 개인정보보호위원회[세계로컬타임즈] 개인정보보호위원회는 3월 25일 제5회 전체회의를 열고, '개인정보 보호법'을 위반한 2개 공공기관에 대한 처분을 의결했다.

2022년 4월 5일 ~ 2023년 10월 23일 외부인(비공무원)이 공무원연금공단이 운영하는 연금업무지원시스템(현 지능형연금복지시스템)에 접속하여 공무원 1,036명의 인사기록카드, 소득 및 기여금 납부내역 등 개인정보를 무단 열람했다.

조사 결과, 공무원연금공단은 신청서에 신청자 서명 및 기관장 직인 누락, 위조 직인 날인 등 의심 정황이 있었음에도 해당 문서의 진위 검증을 제대로 하지 않은 채 5차례의 권한 신청을 모두 승인한 것으로 확인됐다.

또한 공무원연금공단은 전보, 업무 변경 등으로 연금담당자 권한을 상실한 자의 시스템 접근 권한을 지체없이 말소하지 않았으며, 시스템 접속기록을 제대로 보관‧관리하지 않았고 각 기관 연금담당자들의 접속기록 점검도 소홀히 한 것으로 나타났다.

이에 따라 개인정보위는 안전조치의무(접근권한, 접속기록)를 위반한 공무원연금공단에 과징금 5억 3,200만 원 부과, 징계권고, 공표, 공표명령을 의결했다.

2024년 3월 4일 해커는 강북구청이 운영하는 영상정보제공시스템 관리자페이지에 접속하여, 경찰 등 공무원 973명의 이름, 인증정보(ID/PW), 소속 등 개인정보를 다운로드했다.

조사 결과, 강북구청은 개인정보처리시스템 접속을 IP 주소 등으로 제한하지 않고, 인터넷(외부망)으로 시스템 접속 시 안전한 접속수단 또는 인증수단을 적용하지 않아 해커의 불법 접근을 허용했다. 또한 안전하지 않은 암호화 알고리즘으로 비밀번호를 암호화하고, 취급자의 접속기록을 1년 이상 보관‧관리하지 않았으며, 유출통지 항목을 일부 누락한 사실도 확인됐다.

이에 개인정보위는 안전조치 및 유출통지 의무를 위반한 강북구청에 과징금 3억 7,800만 원과 과태료 480만원을 부과하고, 유출통지 시 누락한 항목에 대하여 통지하도록 시정을 권고하며, 공표와 공표명령을 의결했다.

이번 2개 기관의 유출사고는 보호법상 기본적인 안전조치의무 소홀에 따른 것으로, 민감한 국민의 개인정보를 대량으로 처리하는 공공기관은 개인정보처리시스템에 대한 안전조치의무 준수를 위한 각별한 주의가 필요하다.

특히, 이번 사건을 계기로 개인정보위는 지방자치단체에 대하여 개인정보처리시스템의 관리자페이지가 외부로 노출되어 있지 않은지 등 안전조치의무 준수 여부를 확인하도록 지속적 계도해나갈 예정이다.

세계로컬타임즈 / 이 안 기자 pin8275@naver.com

[ⓒ 세계로컬타임즈. 무단전재-재배포 금지]