[더파워 유연수 기자] 온라인 취업포털 인크루트가 해킹으로 730만명에 달하는 회원 개인정보를 유출한 사실이 드러나 과징금 4억6300만원을 부과받았다. 개인정보보호위원회는 22일 전체회의를 열고 인크루트에 대한 제재를 의결했다고 23일 밝혔다.
개인정보보호위원회에 따르면 해커는 지난 1월 인크루트 직원의 업무용 컴퓨터에 악성코드를 심고, 이를 통해 탈취한 데이터베이스(DB) 접속 계정으로 내부 시스템에 침입했다. 이후 한 달여 동안 회원 727만5843명의 개인정보와 이력서·자기소개서·자격증 사본 등 개인저장파일 5만4475건(총 438GB)을 빼냈다.
조사 결과 인크루트는 업무시간 외 비정상적인 DB 접속 기록과 대용량 트래픽이 발생했음에도 별다른 조치를 하지 않았으며, 두 달이 지나 해커의 협박 메일을 받은 뒤에서야 사고 사실을 인지한 것으로 확인됐다. 또한 민감정보를 다루는 컴퓨터를 인터넷망과 분리하지 않는 등 안전조치 의무를 위반한 사실도 드러났다.
인크루트는 지난 2020년에도 ‘크리덴셜 스터핑’ 공격으로 회원정보 3만5076건이 유출돼 2023년 개인정보위로부터 과징금 7060만원과 과태료 360만원을 부과받은 바 있다. 크리덴셜 스터핑은 다른 사이트에서 유출된 계정정보를 무작위로 대입해 로그인하는 해킹 방식이다.
개인정보위는 인크루트가 3년 이내 재차 개인정보 유출 사고를 일으킨 점을 중대하게 보고, 현행 법령에 따라 과징금 4억6300만원을 부과했다고 밝혔다. 아울러 전문 개인정보보호책임자(CPO)를 새로 지정하고, 피해자 지원 및 재발 방지 계획을 60일 이내 제출하도록 시정 명령을 내렸다.
개인정보위는 “유출 사고가 반복되는 등 개인정보 보호에 소홀한 기업에 대해 징벌적 효과를 갖는 과징금 제도 개선안을 마련 중”이라며 “제재 실효성을 높여 기업의 경각심을 강화하겠다”고 강조했다.
