개인정보위 제9회 전체회의 결과

안녕하십니까? 개인정보보호위원회 조사총괄과장입니다.

개인정보보호위원회는 오늘 제9회 전체회의에서 계원예술대학교 등 7개 공공기관과 1개 사업자를 대상으로 4,050만 원의 과태료 부과와 함께 시정권고 조치를 의결하였습니다.

법령에 따라 개인정보를 수집·이용하는 공공기관의 경우 유출사고 방지를 위해 개인정보보호 의무를 철저하게 준수할 필요가 있다는 점을 고려하여 출범 이후 지방자치단체 등 공공기관에 대해 과태료 부과 등 엄격하게 조치하고 있습니다.

이번 의결권은 유출 신고에 따라 조사에 착수하였으며, 해킹이 3건, 업무상 과실 등이 5건이었습니다.

공통적으로 개인정보의 유출 등을 방지하기 위한 안전조치 의무를 소홀히 한 사실을 확인하였습니다.

기관별로 구체적으로 말씀드리면, 우선 계원예술대학교의 경우 웹셀 및 에스큐엘 인젝션 공격 등 해킹을 통해 개인정보가 유출되었고, 보유기간이 지난 퇴직자의 개인정보 미파기, 주민등록번호를 안전하게 암호화하지 않아 과태료 1,350만 원을 부과하였습니다.

대전테크노파크는 해킹으로 개인정보가 유출되었는데, 월 1회 이상 접속기록 점검을 하지 않는 등 안전조치 미흡, 개인정보의 수집·이용 목적을 제대로 고지하지 않는 등의 위반행위로 과태료 780만 원을 부과 받았습니다.

이밖에 5개 공공기관과 사업자인 경운대학교 산학협력단은 취급 중인 개인정보가 개인정보처리시스템에서 누리집 등을 통하여 유출되지 않도록 접근을 통제하지 않거나, 개인정보처리시스템에 접속한 기록을 월 1회 이상 점검하지 않았고, 연 1회 이상 내부관리계획의 이행 실태를 점검하지 않거나, 비밀번호를 암호화하지 않는 등의 안전조치 의무 위반으로 과태료 부과 및 시정권고 조치를 받았습니다.

기관별 과태료 부과 내용 등 자세한 내용은 붙임자료 등을 참고해 주시기 바랍니다. 감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 여기 보면, 시정조치 결과를 보면 울산광역시청 같은 경우는 똑같이 위반내용이 안전조치 의무 위반으로 동일한데 여기는 과태료 대신에 시정권고를 받은 이유가 궁금합니다.

<답변> 저희가 출범하면서 개인정보보호법 개정을 했는데 거기 경과조치 규정이 있습니다. 그것은 출범 전의 행위를 판단하는 기준은 그때의 기준을 따른다는 그런 내용인데요. 그래서 출범 이전에 국가기관과 지자체에 대해서는 과태료를 부과하지 않고 시정조치 권고를 했던 당시 기준을 저희가 따라서 출범 전의 기관에 대해서는 그렇게 처분했습니다.

<질문> *** 하나 궁금하고요. 그리고 해킹으로 유출된 정보들이 다크웹이나 어떤 해외 사이트에 올라갔거나 하는 식의 그런 유출이 있었는지가 궁금합니다.

<답변> 그러니까 계원대의 교직원 외에 유출이 있었는지.

<질문> 퇴직자 외에 어떤 재직하고 있는 교직원이나 그런 사람들의 정보가 유출된 게 있었는지 궁금합니다.

<답변> 기자님, 죄송한데 그것은 제가 사실관계를 확인해서 알려드리겠습니다. 있었다고 제가 기억을 하는데, 정확한 것은 확인해서 알려드리는 게 좋을 것 같아서 그것은 제가 돌아가서 조사원한테 확인을 하고 전화드리겠습니다.

<질문> 그리고 그 유출된 정보가 혹시 해외 사이트나 이런 곳에 어디에 올라갔었는지.

<답변> 그런 것을 확인을 하지는 못했고요. 그런 게 다크웹에 있는 게 저희한테 인지가 되는 경우도 있고, 안 되는 경우도 있는데 이번 것은 그런 게 인지가 되지는 않았습니다.

<끝>