개인정보위, 안전조치 및 수탁자 감독 의무 위반한 5개 기관·업체 제재

개인정보위, 안전조치 및 수탁자 감독 의무 위반한 5개 기관·업체 제재

- 행정안전부('24.4.~'25.5.), 농촌진흥청('25.4.) 등 5개 기관·업체에 과징금 5억 4,660만 원 및 과태료 1,200만 원 부과 등 의결

- 정보시스템 구축 및 유지·관리 중 안전조치의무는 공공기관 부담이 원칙이나,수탁자에게 고유 과실이 있는 경우 수탁자도 제재 처분 가능

개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 5월 27일(수) 제10회 전체회의를 열고, ｢개인정보 보호법｣(이하 '보호법')을 위반한 4개 공공기관과 수탁업체 1곳*에 대한 처분을 의결하였다.

• ①행정안전부(2건), ②농촌진흥청, ③국립농업과학원, ④국립축산과학원, ⑤㈜미소테크(수탁업체)

행정안전부 : 과징금 2억 7,300만 원 및 과태료 750만 원 부과, 시정권고, 공표, 공표명령

《사실관계》

행정안전부는 통합행정 서비스 포털인 정부24를 운영하고 있는 데, '24년4월 정부24를 통해 발급받을 수 있는 교육부 NEIS 연계 민원서류 및 국세청 납세증명서 관련 소스코드 개발 오류로 1,233명의 개인정보가 타인에게 공개되는 등 유출되었다.

또한, '25년5월 정부24 홈페이지에서 제공하는 주민등록증 발급상황 조회 서비스에 존재하는 인증 취약점 때문에 주민등록증 발급상황 4건(사망자 1인 포함)이 타인에게 조회되었다. 한편, 공유누리 홈페이지 '업무게시판'에 게시된 "공공주차장 담당자" 파일이 구글검색에 노출되었다.

※ (유출항목) ①NEIS – 생활기록부, 졸업증명서 등 6종 / 성명, 생년월일(또는 주민등록번호), 학교정보(646명)②납세증명서 – 법인 대표자 성명 및 주민등록번호(587명)③주민등록증 발급상황 – 발급신청일 및 처리 여부(3명 / 이름, 주민등록번호를 입력하여 조회)④공유누리 '업무게시판' - 이름, 전화번호, 이메일주소, 소속기관정보(3,828명)

《위반 내용 및 처분 결과》

행정안전부는 정부24를 운영하면서 국세 납세증명서 서식 변경을 위해 개발한 소스코드와 관련하여 '개인 발급'에 대해서만 테스트하고 '법인 발급' 테스트는 누락하는 등 점검을 소홀히 하였다. 또한 '주민등록증 발급 상황' 조회 서비스에 사용된 본인인증 모듈의 취약점을 발견·조치하지 않았다.

더불어 교육부 NEIS 연계 민원 관련 유출 사실을 인지('24.4.1)하였으나 정당한 사유없이 72시간을 경과하여 통지('24.4.11.4. 22.)하고, 개인정보처리방침에 위탁업무와 수탁자를 공개하면서 수탁업체인 메타빌드㈜를 누락('23.9.18.'24.5.1.)한 사실도 확인하였다.

이에 개인정보위는 행정안전부에 과징금 2억 7,300만 원과 과태료 300만 원을 부과하고, 프로그램 개발 관련 사전검토 강화에 대한 시정권고, 처분 결과의 공표 및 공표명령을 의결하였다.

또한, 공유누리 홈페이지에 '업무 게시판'을 내부용으로 구축·운영하면서 접근권한 검증 등 접근통제 미조치에 대해 과태료 450만 원 부과와 공표를 의결하였다.

농촌진흥청, 국립농업과학원, 국립축산과학원, ㈜미소테크(수탁업체) : 과징금 2억 7,360만 원 및 과태료 450만 원 부과, 시정권고, 공표, 공표명령

《사실관계》

'25.4.7. 농촌진흥청 및 소속기관으로부터 시스템 유지·관리 등을 위탁받은 ㈜미소테크의 네트워크 저장장치(이하 'NAS')에 저장된 개인정보를 신원 미상의 해커가 탈취하여 다크웹에 게시하였다. 해당 NAS에는 개인정보* 57만 5천여 건(중복 포함)이 포함되어 있었다.

• (유출항목) 이름, 주소, 연락처, 이메일주소, 직장정보, 과학기술인번호, 농장정보 등

조사 결과, 수탁업체인 ㈜미소테크는 위탁받은 개인정보를 자체 NAS에 무단으로 보관('20.5.'25.4.)하였고, 해당 NAS를 외부 IP로 접근 가능한 상태로 운영('17.6.'25.4.)하면서, 관리자 계정의 아이디와 비밀번호만으로 접근이 가능하도록 설정하는 등 접근통제에 필요한 조치를 미흡하게 한 사실을 확인하였다.

아울러, 위탁자인 농촌진흥청 등도 용역사업 종료 시 수탁업체인 ㈜미소테크로부터 "자료미보유확약서"만 수령하고 노트북·외장하드 등에서 개인정보가 파기되었는지 여부는 점검·확인하지 않았다. 또한 수탁업체의 개인정보 보유 현황, 업무처리 환경 등을 파악·통제하지 못하는 등 수탁자 관리·감독에 소홀한 사실을 확인하였다.

《위반 내용 및 처분 결과》

개인정보위는 안전조치의무를 위반하여 개인정보를 유출한 ㈜미소테크에 과징금 8,250만 원, 과태료 450만 원을 부과 및 공표명령을 의결하였다.

이와 더불어 수탁자 관리·감독 의무를 위반한 농촌진흥청에는 과징금 1억 6,800만 원 부과와 시정권고, 공표 및 공표명령을, 국립농업과학원에는 과징금 2,310만 원 부과와 시정명령 및 공표를, 국립축산과학원에는 舊 보호법에 따른 시정명령을 의결하였다.

이번 조사·처분의 의의

이번 처분은 공공기관 정보화사업 과정에서 발생한 개인정보 유출 사고의 책임을 보다 구체적으로 확립하였다는 점에 의의가 있다.

우선, 소스코드 개발 오류, 보안 취약점 미조치 등 처리시스템의 안전성 확보 실패로 유출이 발생한 경우, 해당 시스템에 대한 최종 책임 주체인 공공기관에게 보호법 상 안전조치의무 위반 책임이 있음을 명확히 하였다. 아울러 수탁자도 안전조치의무 위반 책임을 물을 수 있다는 판단 기준을 제시하였다.

개인정보위는 앞으로도 공공부문 정보화사업 과정에서 발생할 수 있는 개인정보 보호 취약요인을 지속적으로 점검하고, 위·수탁 구조에서 발생하는 관리 공백이 최소화될 수 있도록 공공기관들에 처분 사례를 공유하고, 현장 중심의 관리·감독 강화를 유도해 나갈 계획이다.

• 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

• 담당자 : 조사총괄과 나일청(02-2100-3162)