개인정보보호위원회가 해커그룹의 공격으로 업무자료가 유출된 SK쉴더스에 대한 개인정보 유출 조사에 착수했다고 23일 밝혔다.

개인정보위는 17일 SK쉴더스가 한국인터넷진흥원(KISA)에 사이버침해 신고를 한 후 관련자료 요구 등 사전점검을 진행하다 22일 오후 11시쯤 개인정보 유출 신고를 하자 정식 조사로 전환했다.

SK쉴더스 등에 따르면 해커는 보안테스트용 가짜 환경인 ‘허니팟’에 접속된 직원의 구글메일(gmail) 계정을 해킹, 자사 및 고객사 담당자의 개인정보 등 업무자료를 유출한 것으로 추정된다.

개인정보위는 구체적인 유출 경위와 규모, 개인정보보호법 위반 여부 등을 확인할 방침이다.

앞서 개인정보위는 22일 전체회의에서 온라인 취업포털 인크루트, 그리고 한양CC·서울CC 골프장에 대해 정보관리 부실 책임을 물어 과징금을 부과했다.

해커는 올해 1월 인크루트 직원의 업무용 컴퓨터에 악성코드를 심어 탈취한 데이터베이스(DB) 접속계정을 사용해 전체 회원 727만5843명의 개인정보와 이력서·자기소개서·자격증 사본 등 개인저장파일 5만4475건(약 438GB)을 한 달여에 걸쳐 탈취한 것으로 조사됐다.

업무시간 외 비정상적인 DB 접속기록과 대용량 트래픽이 발생했음에도 인크루트는 별다른 조처를 하지 않았고, 두 달이 지난 뒤 해커의 협박 메일을 받고서야 사고 사실을 인지한 것으로 확인됐다.

또 개인정보취급자용 컴퓨터를 인터넷망과 분리하지 않는 등 안전조치 의무도 위반한 것으로 드러났다.

인크루트는 2020년에도 ‘크리덴셜 스터핑(타 사이트에서 수집한 정보를 무작위 대입해 로그인을 시도하는 방식)’ 공격으로 회원정보 3만5000여건이 유출돼 2023년 개인정보위로부터 과징금 7060만원과 과태료 360만원을 부과받은 바 있다.

개인정보위는 3년 이내 동일 사업자의 유출 사고가 반복된 점을 엄중히 보고, 현행 법령을 엄격히 적용해 과징금 4억6300만원을 부과키로 의결했다고 밝혔다. 인크루트의 지난해 연결 기준 매출 343억원의 약 1.35%다.

한양CC와 서울CC는 회원정보를 같은 서버와 계정으로 관리하는 등 보호조치를 소홀히하다 회원 8만7923명의 개인정보가 유출됐다. 개인정보는 스팸문자 발송에 사용됐다.

개인정보위는 한양CC에 과징금 1억4800만원과 과태료 1230만원, 서울CC에는 과징금 5310만원과 과태료 990만원을 각각 부과키로 의결했다

이재걸 기자 claritas@naeil.com