개인정보위, 공무원연금공단·강북구청에 과징금·과태료 9억 1,480만 원 부과

- (공무원연금공단) 비자격자에 연금담당자 권한 부여, 접속기록 보관·관리 소홀

- (강북구청) 접근통제 미흡 등 안전조치의무 소홀, 유출통지 항목 누락

  개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 3월 25일(수) 제5회 전체회의를 열고, ｢개인정보 보호법｣(이하 '보호법')을 위반한 2개 공공기관*에 대한 처분을 의결하였다.

  * ① 공무원연금공단, ② 서울특별시 강북구청(이하 '강북구청')

< 공무원연금공단 : 과징금 5억 3,200만 원 부과, 징계권고, 공표, 공표명령 >

  '22. 4. 5. ~ '23. 10. 23. 외부인(비공무원)이 공무원연금공단이 운영하는 연금업무지원시스템(현 지능형연금복지시스템)*에 접속하여 공무원 1,036명의 인사기록카드, 소득 및 기여금 납부내역 등 개인정보를 무단 열람하였다.

  * 공무원의 연금 가입 관리, 연금액 산출, 퇴직급여 심사 등을 위한 시스템으로, 기관별 연금담당자는 소속 공무원의 주민등록번호, 소득자료, 주소 등 열람이 가능

  조사 결과, 공무원연금공단은 신청서에 신청자 서명 및 기관장 직인 누락, 위조 직인 날인 등 의심 정황이 있었음에도 해당 문서의 진위 검증을 제대로 하지 않은 채 5차례의 권한 신청을 모두 승인한 것으로 확인되었다.

  또한 공무원연금공단은 전보, 업무 변경 등으로 연금담당자 권한을 상실한 자의 시스템 접근 권한을 지체없이 말소하지 않았으며, 시스템 접속기록을 제대로 보관·관리하지 않았고 각 기관 연금담당자들의 접속기록 점검도 소홀히 한 것으로 나타났다.

  이에 따라 개인정보위는 안전조치의무(접근권한, 접속기록)를 위반한 공무원연금공단에 과징금 5억 3,200만 원 부과, 징계권고, 공표, 공표명령을 의결하였다.

< 강북구청 : 과징금 3억 7,800만 원과 과태료 480만 원 부과, 시정권고, 공표, 공표명령 >

  '24.3.4.해커는 강북구청이 운영하는 영상정보제공시스템* 관리자페이지에 접속하여, 경찰 등 공무원 973명의 이름, 인증정보(ID/PW), 소속 등 개인정보를 다운로드하였다.

  * 수사기관(경찰) 요청 시 영상정보제공시스템(CCTV 원본영상을 관리하는 관제시스템은 별도로 운영중)을 통하여 CCTV 영상을 제공하며, 30일 후 해당 영상은 자동으로 삭제됨

  조사 결과, 강북구청은 개인정보처리시스템 접속을 IP 주소 등으로 제한하지 않고, 인터넷(외부망)으로 시스템 접속 시 안전한 접속수단 또는 인증수단을 적용하지 않아 해커의 불법 접근을 허용하였다. 또한 안전하지 않은 암호화 알고리즘으로 비밀번호를 암호화하고, 취급자의 접속기록을 1년 이상 보관·관리하지 않았으며, 유출통지 항목을 일부 누락한 사실도 확인되었다.

  이에 개인정보위는 안전조치 및 유출통지 의무를 위반한 강북구청에 과징금 3억 7,800만 원과 과태료 480만원을 부과하고, 유출통지 시 누락한 항목에 대하여 통지하도록 시정을 권고하며, 공표와 공표명령을 의결하였다.

  이번 2개 기관의 유출사고는 보호법상 기본적인 안전조치의무 소홀에 따른 것으로, 민감한 국민의 개인정보를 대량으로 처리하는 공공기관은 개인정보처리시스템에 대한 안전조치의무 준수를 위한 각별한 주의가 필요하다.

  특히, 이번 사건을 계기로 개인정보위는 지방자치단체에 대하여 개인정보처리시스템의 관리자페이지가 외부로 노출되어 있지 않은지 등 안전조치의무 준수 여부를 확인하도록 지속적 계도해나갈 예정이다.

  ※ 강북구청은 보안이 취약한 구 버전의 phpMyAdmin 소프트웨어를 통해 관리자페이지를 운영한 사실이 있음

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사총괄과 정민정(02-2100-3165)