행정안전부가 2024~2025년 발생한 개인정보 유출사고와 관련해 2억여원의 과징금 처분을 받았다.

개인정보보호위원회는 27일 전체회의를 열고 행안부·농촌진흥청·국립농업과학원·국립축산과학원 등 공공기관 4곳과 수탁업체인 미소테크에 대해 과징금 5억7300만원 및 과태료 1200만원을 부과했다고 28일 밝혔다.

통합행정 서비스 포털인 ‘정부24’를 운영 중인 행안부는 2024년 4월 관련 소스코드 개발 오류로 △교육행정정보시스템(NEIS, 나이스) 연계 민원서류 유출로 이름·생년월일·학교정보 등 646명의 개인정보, 그리고 △국세청 납세증명서 유출로 587명의 법인 대표자 이름 및 주민등록번호가 공개됐다.

지난해 5월에는 정부24 인증 취약점 때문에 4명의 주민등록증 발급상황이 타인에게 조회되는가 하면, 공유누리 홈페이지 ‘업무게시판’에 게시된 ‘공공주차장 담당자’ 파일이 구글검색에 노출돼 3828명의 이름·연락처·소속기관이 드러나기도 했다.

개인정보위에 따르면 행안부는 정부24를 운영하면서 국세 납세증명서 서식 변경을 위해 개발한 소스코드를 ‘개인 발급’에 대해서만 점검하고 ‘법인 발급’ 점검은 빠뜨린 것으로 조사됐다. ‘주민등록증 발급 상황’ 조회 서비스에 사용된 본인인증 모듈의 취약점을 발견·조치하지도 않았다.

또 교육부 NEIS 연계 민원 관련 유출 사실을 인지하고 통지하는 데 72시간 이상이 경과한 점, 개인정보처리 방침에 위탁업무와 수탁자를 공개하면서 수탁업체를 빼먹은 사실도 확인했다.

이에 개인정보위는 행정안전부에 과징금 2억7300만원과 과태료 300만원을 부과하고, 프로그램 개발 관련 사전검토 강화에 대한 시정권고, 처분 결과의 공표 및 공표명령을 의결했다. 추가로 내부용인 공유누리 ‘업무 게시판’ 접근통제 미조치에 대해 과태료 450만원 부과와 공표를 의결했다.

농촌진흥청 및 소속기관들로부터 시스템 유지·관리 등을 위탁받은 미소테크는 지난해 4월 네트워크 저장장치(NAS)에 저장된 개인정보를 신원 미상의 해커가 탈취, 다크웹에 게시하는 일이 있었다. 해당 NAS에는 이름·주소·연락처·직장정보·농장정보 등 57만5000여명(중복 포함)의 개인정보가 포함돼 있었다.

개인정보위 조사 결과 미소테크는 위탁받은 개인정보를 외부 접근이 가능한 자체 NAS에 무단 보관한 것으로 확인됐다. 위탁자인 농촌진흥청 등도 미소테크의 개인정보 파기여부를 확인하지 않는 등 수탁자 관리·감독에 소홀했던 것으로 나타났다.

개인정보위는 미소테크에 과징금 8250만원, 과태료 450만원을 부과하고 공표명령을 의결했다. 농촌진흥청에는 과징금 1억6800만원과 시정권고, 공표 및 공표명령을, 국립농업과학원에는 과징금 2310만원과 시정명령 및 공표를, 국립축산과학원에는 시정명령을 의결했다.

개인정보위는 “처리시스템의 안전성 확보 실패로 유출이 발생한 경우, 해당 시스템에 대한 최종 책임 주체인 공공기관에게 보호법 상 안전조치의무 위반 책임이 있음을 명확히 했다”며 “수탁자도 안전조치의무 위반 책임을 물을 수 있다는 판단 기준을 제시했다”고 밝혔다.

이재걸 기자 claritas@naeil.com