개인정보위, 개인정보 유출 텔루스·한국인정지원센터에 과징금 1.3억 부과

개인정보보호위원회는 25일 제14회 전체회의를 열고 개인정보 보호 법규를 위반한 2개 사업자에 이 같이 의결했다고 밝혔다.

한국인정지원센터는 2023년 1월 자사 홈페이지의 개인정보가 깃허브와 텔레그램을 통해 외부에 노출된 사실을 확인하고 개인정보위에 유출 신고를 했다. 조사 결과, 신원 미상의 해커가 데이터베이스 명령어 삽입(SQL 인젝션) 방식으로 2만 1234명의 개인정보를 탈취한 것으로 드러났다.

해당 정보에는 이름, 아이디, 비밀번호, 휴대전화번호, 주소, 생년월일, 주민등록번호 등이 포함됐다. 개인정보위는 이 기관이 입력 정보에 대한 필터링을 전혀 하지 않아 기본적인 웹 보안조차 갖추지 못했고, 관리자 인증에 일회용 비밀번호(OTP) 등 안전한 수단을 도입하지 않았다고 지적했다.

또한 2001~2014년 수집한 주민등록번호를 법정기한(2016년)까지 파기하지 않고 보관한 점도 중대 위반 사항으로 판단했다. 이에 개인정보위는 과징금 5520만 원과 과태료 600만 원을 부과하고 해당 사실을 위원회 홈페이지에 공표하기로 했다.

AI 학습 데이터 플랫폼을 운영하는 텔루스인터내셔널AI는 2023년 해킹을 통해 한국인 1만3622명, 전 세계 68만 명의 개인정보가 유출되는 사고를 겪었다. 조사 결과 플랫폼 기능 개선 과정에서 관리자 권한을 확인하는 보안 절차가 누락된 것이 원인이었다.

이로 인해 일반 사용자로 로그인한 해커가 전체 이용자의 데이터에 접근할 수 있었던 것으로 드러났다. 또한 텔루스는 유출 사실을 인지한 이후 법정 기한(72시간) 내에 당국에 신고하지 않았고 피해 이용자들에게도 통지를 지연한 사실이 확인됐다.

개인정보위는 이를 엄중히 보고 과징금 8200만 원과 과태료 720만 원을 부과했다.

개인정보위는 이번 처분을 통해 “SQL 삽입이나 접근 제어 오류 등 잘 알려진 웹 취약점을 방치한 점이 매우 중대한 문제”라며, 모든 개인정보 처리자는 정기적인 보안 점검과 사전 예방조치를 철저히 이행해야 한다고 강조했다.

또한 유출 사실 통지 지연, 주민등록번호 보관 등 개인정보보호법을 위반하는 사례에 대해서는 앞으로도 강력히 대응할 방침이라고 밝혔다.