안전조치의무 위반 등 과태료·과징금 부과
[정보통신신문=박남수기자] 개인정보보호위원회는 12일 제12회 전체회의를 열고, 개인정보보호 법규를 위반한 ㈜BSC와 SK(계열사 및 수펙스추구협의회), 인크루트㈜에 대해 과태료 및 과징금 부과 등을 의결햇다.
이번 사건은 사업자의 개인정보 유출 신고에 따라 조사가 이뤄졌으며, 구체적인 처분 내용을 살펴보면 ㈜BSC는 SK그룹 채용종합역량검사를 수행하는 수탁자로 자체 운영하는 시스템의 관리자페이지 접근통제 조치를 미흡하게 해 응시자의 개인정보(1679건)가 유출됐고, 보관기간이 지난 평가 응시자의 개인정보를 파기하지 않은 사실이 확인되어 시정명령 처분을 받았다.
또한, 이번 유출사고와 관련된 SK계열사와 SK수펙스추구협의회는 수탁사 관리·감독 의무를 다하지 않아 시정명령 처분을 받았고, 이 중 일부는 개인정보 처리 위·수탁 계약을 문서로서 체결하지 않은 사실이 확인되어 총 2400만 원의 과태료 처분을 받았다.
한편, 인크루트㈜는 채용정보 제공 사이트에 해커가 크리덴셜 스터핑 공격*을 하였으나, 대규모 로그인 시도**를 차단하기 위한 침입 탐지 및 차단 정책을 실행하지 않았고, 휴면계정 해제 시 추가인증 요구 없이 아이디(ID), 비밀번호만으로 해제가 가능하도록 설정하는 등 접근통제 조치를 소홀히 함으로써 이용자의 개인정보(3만5076건)가 유출된 사실이 확인되어 과징금 7060만원과 과태료 360만 원이 부과됐다.
개인정보위 관계자는 동 처분으로 채용기업이 지원자의 개인정보가 유출되지 않도록 개인정보처리시스템에 대한 접근통제와 위·수탁 관리 등을 더욱 철저히 하는 계기가 되기를 당부했다.