개인정보위, ‘안전의무 소홀’ 공무원연금공단·강북구청에 과징금 9억원 부과

개인정보보호위원회는 지난 25일 제5회 전체회의를 열고, ‘개인정보 보호법‘을 위반한 공무원연금공단, 서울시 강북구청 등 2개 공공기관에 대한 처분을 의결했다고 26일 밝혔다.

개보위는 공무원연금공단에 과징금 5억3200만원을 부과하고, 징계권고 및 공표명령을 내렸고 강북구청에는 과징금 3억7800만원과 과태료 480만원 부과, 시정권고·공표명령을 내렸다.

먼저 공무원연금공단은 외부인이 연금업무지원시스템(현 지능형연금복지시스템)에 접속해 공무원 1036명의 인사기록카드, 소득 및 기여금 납부내역 등 개인정보를 무단 열람한 것으로 나타났다. 

조사 결과, 공무원연금공단은 신청서에 신청자 서명 및 기관장 직인 누락, 위조 직인 날인 등 의심 정황이 있었음에도 해당 문서의 진위 검증을 제대로 하지 않은 채 5차례의 권한 신청을 모두 승인한 것으로 확인됐다.

또한 공무원연금공단은 연금담당자 권한을 상실한 자의 시스템 접근 권한을 지체 없이 말소하지 않았으며, 시스템 접속기록을 제대로 보관·관리하지 않았고 각 기관 연금담당자들의 접속기록 점검도 소홀히 한 것으로 조사됐다.

강북구청은 해커가 영상정보제공시스템 관리자페이지에 접속해, 경찰 등 공무원 973명의 이름, 인증정보(ID/PW), 소속 등 개인정보를 빼간 것으로 나타났다. 

강북구청은 개인정보처리시스템 접속을 IP 주소 등으로 제한하지 않고, 인터넷(외부망)으로 시스템 접속 시 안전한 접속수단 또는 인증수단을 적용하지 않아 해커의 불법 접근을 허용한 것으로 조사됐다. 또 안전하지 않은 암호화 알고리즘으로 비밀번호를 암호화하고, 취급자의 접속기록을 1년 이상 보관·관리하지 않았으며, 유출통지 항목을 일부 누락한 사실도 확인됐다.

개보위는 “이번 2개 기관의 유출사고는 보호법상 기본적인 안전조치의무 소홀에 따른 것으로 공공기관은 개인정보처리시스템에 대한 안전조치의무 준수를 위한 각별한 주의가 필요하다”며 “이번 사건을 계기로 지방자치단체에 대한 안전조치의무 준수 여부를 확인하도록 지속적 계도해 나갈 예정”이라고 밝혔다.