전국연합학력평가 성적이 유출된 '경기도교육청'에 과태료 2,160만 원 부과, 개선 권고 및 결과 공표
|
▲고학수 개인정보보호위원회 위원장이 지난 26일 오후 정부서울청사에서 열린 제13회 개인정보보호위원회 전체회의를 주재하고 있다.[사진=개인정보보호위원회 홈페이지 자료] |
개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 7월 26일 전체회의를열고, 올해 초 전국연합학력평가 성적이 유출된 경기도교육청과 개인정보처리시스템 등의 안전조치를 소홀히 하여 주민등록번호가 유출된 13개 공공기관에 대한 제재 처분을 의결했다.
해킹으로 약 27만여 전국연합학력평가 응시학생의 성적정보가 유출된 경기도교육청에 대해서는 2,160만 원의 과태료 처분과 함께 보유한 개인정보처리시스템 일제 점검, 거버넌스·매뉴얼 정비, 취급자 교육 강화 등의 개선을 권고했다.
조사 결과, ▲자체 개발한 온라인시스템의 접근통제를 제대로 하지 않고, ▲안전한 인증수단 등도 없이 시스템을 운영하였으며, ▲최신 보안패치를 적용하지 않고, ▲접속기록도 점검하지 않는 등 안전조치를 소홀히 하였을 뿐아니라, ▲보유기간이 지난 성적정보를 파기하지 않는 등 전반적인 관리부실이 확인되었다.
경기도교육청의 이러한 법 위반행위는 현행 개인정보보호법(이하 ‘보호법’)으로는 과태료 처분에 그치지만, 개정 보호법이 시행되는 9월 15일부터는 과징금 부과 등 더 큰 제재를 부과할 수 있게 되어 개인정보를 다루는 기관들의 각별한 주의가 요구된다.
일반 개인정보보다 더 엄격히 보호해야 하는 주민등록번호가 암호화 등 안전성 확보조치가 되지 않은 채 유출된 13개 기관에 대하여는 과징금, 과태료 부과 등의 처분을 의결하였다.
주요 사례를 보면, ▲주민등록번호가 담긴 파일이 전자우편이나 공문에잘못 첨부되어 발송되거나, ▲합격자 명단 등을 누리집에 게시하면서 엑셀파일에 주민등록번호가 숨겨진 채로 함께 게시된 경우, ▲개인정보가 담긴서류를 제대로 보관·관리하지 않아 이면지에 섞여 유출된 경우, ▲민간인증로그인 시 본인인증 오류로 주민등록번호가 다른 사람에게 유출된 경우등이 있었다.
남양주시는 관내 요양기관 종사자·입소자 명단 이메일 오발송으로 주민번호(6,568건 유출) 암호화 미조치와 유출통지 및 신고 지연으로 과징금 1,625만 원과 과태료 600만 원을 부과 받았고, 경기도 시흥시는 코로나19 4차 예방접종 대상자 명단 이메일 오첨부로 주민번호(1,206건 유출) 암호화 미조치하여 과징금 1,250만 원을 부과 받았다.
|
▲개인정보 보호법을 위반한 14개 공공기관의 위반내용 및 시정조치[자료=개인정보보호위원회] |
;){kind=link}