개인정보보호 법규 위반 14개 공공기관 제재, 서울대병원 등에 과징금

세이프코리아뉴스

| 기사입력 2023/05/12 [10:38]

사회·문화

개인정보보호 법규 위반 14개 공공기관 제재, 서울대병원 등에 과징금

세이프코리아뉴스

| 입력 : 2023/05/12 [10:38]

개인정보 보호위원회(이하 ‘개인정보위’)는 지난해 7월 관계기관 합동으로 ‘공공기관 유출방지 대책’을 발표한 이후 그 후속조치로 올해 4월 7일 ‘공공부문 안전조치 강화 계획’을 수립·추진하는 한편 그와 병행하여 공공기관의 법 위반 제재 강화에 나섰다.

개인정보위는 5월 10일 전체회의에서 14개 공공기관의 개인정보보호 법규 위반에 대해 심의하여 서울대학교병원과 국토교통부 등 2개 기관에는 공공기관 최초로 과징금을 부과(’20.8월 위원회 출범 이후)하고, 그 외 12개 기관에 대해서도 과태료 부과 및 시정명령 등 처분을 의결하였다.

< 개인정보 유출사고 관련 >

우선, 개인정보가 유출된 10개 기관(해킹 3, 시스템 오류 2, 담당자 부주의 5) 중 주민등록번호가 유출된 경우로서 안전조치를 제대로 하지 않은 2개 기관에는 과징금을, 그 외 8개 기관에는 과태료를 부과하였다.

이중 안전조치의무 위반 정도가 상대적으로 중대한 서울대학교병원에는 7,475만 원의 과징금과 660만 원의 과태료를 함께 부과하였고, 건축 행정 시스템(세움터) 수정 과정에서 오류로 주민등록번호가 유출된 국토교통부에는 2,500만 원의 과징금을 부과하였다.

그 외에 개인정보를 잘못 발송하거나 재활용 분리장에 방치하는 등의 행위로 개인정보가 유출된 8개 기관에 대해서는 안전조치 의무 등을 다하지 않은 책임을 물어 300만 원에서 900만 원의 과태료를 부과하였다.

< 개인정보 침해 관련 >

또한 개인정보 침해신고 등으로 조사를 받은 4개 기관에 대해서는 시스템 접근 권한을 제대로 관리하지 않거나, 동의없는 개인정보 수집, 보유기간이 지난 개인정보 미 파기 등 법 위반 사실이 확인되어 과태료 등을 처분하였다.

특히, 작년 9월 신당역 살인사건이 발생한 서울교통공사는 전 직원에게 다른 직원의 주소지를 검색할 수 있는 접근 권한을 부여하고, 직위 해제된 직원의 접근 권한을 지체없이 말소하지 않는 등 안전조치를 소홀히 한 사실이 확인되어 과태료 처분을 하였으며, 2차 피해의 중대성과 심각성을 고려하여 ‘공공기관 유출방지 대책’에 따라 2개월 내에 보유 시스템 전반에 대해 점검하고 개인정보보호 강화 대책을 수립·이행토록 하는 개선권고를 함께 의결하였다.

남석 개인정보위 조사조정국장은 “공공기관의 경우 다량의 개인정보를 처리하고 있어 작은 위반 행위로도 심각한 피해로 이어질 가능성이 큰 만큼 담당자들의 세심한 주의가 필요하다”고 강조하면서, “‘공공부문 안전조치 강화계획(’23.4.7)’에 따른 1,515개 집중 관리시스템은 올해부터 3년간 순차적으로 안전조치 이행상황을 집중 점검할 계획이며, 집중 관리시스템이 아니더라도 심각한 유출 사고가 발생한 공공시스템은 점검대상에 포함할 예정”이라고 말했다.

기관별 위반내용 및 시정조치(14개 기관)

연번	기관명	위반 내용	위반 법조항	시정조치(안)
1	서울대학교 병원	o고유식별정보의 처리 제한 위반 o안전조치의무 위반 o유출 통지의무 위반	o§24③ o§29 o§34①	o과징금 7,475만원 o과태료 660만원 o결과 공표
2	국토교통부	o고유식별정보의 처리 제한 위반	o§24③	o과징금 2,500만원
3	서울 교통공사	o안전조치의무 위반	o§29	o과태료 360만원 o개선 권고
4	서울 강북구	o안전조치의무 위반	o§29	o과태료 360만원
5	한국과학 기술원(2건) (유출사고+ 침해신고)	o개인정보 처리 업무위탁(A업체) 미공개 o안전조치의무 위반	o§26② o§29	o과태료 360만원
5	한국과학 기술원(2건) (유출사고+ 침해신고)	o개인정보 수집·이용 위반 / 고지누락 o개인정보 미파기 o개인정보 처리 업무위탁(B업체) 미공개2	o§15①② o§21① o§26②	o과태료 1,200만원 o결과 공표
6	서울대학교	o안전조치의무 위반	o§29	o과태료 300만원
7	용인교육 지원청	o민감정보 처리 제한/안전조치 위반 o유출 통지· 신고 의무 위반	o§23②/§29 o§34①, ③	o과태료 900만원 o결과 공표
8	서울 강남구	o민감정보의 처리 제한/고유식별정보 처리 제한/ 안전조치의무 위반 o유출 통지의무 위반	o§23②/§24의2/§29 o§34①	o과태료 600만원 o결과 공표
9	협성대학교	o안전조치의무 위반	o§29	o과태료 300만원
10	농림축산 검역본부	o안전조치의무 위반	o§29	o과태료 300만원 o결과 공표
11	인천 남동구	o유출 통지의무 위반	o§34①	o과태료 300만원
12	창원시	o주민등록번호 처리 제한 위반	o§24의2	o과태료 300만원
13	한국잡월드	o개인정보 수집·이용 위반 o민감정보 처리 제한 위반	o§15① o§23①	o과태료 500만원 o시정명령
14	한국산업 인력공단	o개인정보 파기 위반	o§21①	o과태료 300만원

유출사고(10개 기관)의 원인

기관명	유출 사고의 원인	비고
서울대학교 병원	o해커가 ’21.6월 웹쉘을 실행하여 원격데스크탑 서비스로 유휴서버에 연결, 내부망 공유폴더 탐색 및 주민등록번호(10,089명)및 개인정보(22,020명)를 탈취 o해커가 이미 확보한 계정정보 등을 이용하여 병리자료 서버에 침입, 환자 진료정보(652,930명, 사망자 포함시 810,038명) 탈취 o해커가 1차와 동일경로로 내부망 전자사보DB 접속 후 직원정보(1,953명) 탈취	해킹
한국과학 기술원	o해커가 교직원 및 학생들에게 11종의 피싱메일을 발송하여 이메일계정을 탈취, VPN 계정 등에 접속
서울대학교	o홈페이지 접근통제 미흡으로 인한 SQL 인젝션 해킹공격
국토교통부	o세움터 시스템(건축물대장 발급) 소소코드 수정 과정에서 연계시스템(일사편리)과 신청인 발급 코드가 중복되는 오류가 발생하여 약 16시간 동안 소유자 본인 외 다른 민원인들에게 27,631명의 주민등록번호가 마스킹 처리 없이 열람	시스템 오류
서울 강북구	o안전조치 소홀로 홈페이지 관리자페이지의 URL이 외부 검색엔진에 노출	시스템 오류
용인교육 지원청	o관내 중고등학교에 수능시험 감독관 임명 공문을 발송하면서감독관전체 명단 파일을 해당 학교별로 구분하지 않고 일괄발송, 파일은암호화되어 있으나 비밀번호를 공문에 명시	담당자 부주의
서울 강남구	o개인정보가 포함된 서류를 재활용 분리장에 반출하여 파쇄 등 후속작업 없이 방치, 기자가 해당 서류 일부를 촬영
협성대학교	o내부 메신저에 안내·홍보자료를 게재하면서 담당자 실수로재학생의 개인정보가 담긴 파일을 잘못 게재
농림축산 검역본부	o공공데이터 개방 정책에 따라 공공데이터포털에 동물등록대행업체의 법인정보를 등록하면서 법인정보 외에 대표자의개인정보(휴대폰 번호, 이메일)를 함께 게재
인천 남동구	o민원대응 과정에서 직원 실수로 2명의 개인정보를 잘못 교부

침해 사건(5개 기관)의 원인

기관명	침해 원인
서울교통공사	o전직원에게 과도한 접근 권한을 부여하여 누구나 다른 직원의 주소지검색할수 있도록 허용 / 직위해제된 직원의 접근 권한을 지체없이 말소하지 않아 근무 상황 관련 내용 열람을 허용
창원시	o담당자가 부주의로 홈페이지 게시판에 개인정보가 포함된 명단을 잘못 첨부하여 게재하였다가 스스로 해당 사실 확인 후 시정(유출 사실은 확인 안됨)
한국과학 기술원	o동의 및 법적 근거없이 재학생 등의 개인정보를 추가 수집 / 정보주체 동의를 받을 때 고지사항 일부 누락 / 보관기간 경과 개인정보 미파기 / 일부 시스템의 업무 위탁사항 미공개
한국잡월드	o용역 계약시 과업지시서에 근로자의 개인정보를 제출하도록 명시, 법적근거없이 용역업체로부터 근로자의 개인정보를 수집
한국산업 인력공단	o개인정보가 불필요하게 되었음에도 해당 정보 미파기

원본 기사 보기:safekoreanews

세이프코리아뉴스의 다른기사보기

전체댓글보기

개인정보 관련기사목록

PHOTO

맹견 사육하려면 ‘허가’ 받아야 한다, 책임보험·중성화 필수, 농축산부