[더테크 서명수 기자]  730만여 명의 구직자 개인정보가 유출된 온라인 취업포털 인크루트가 개인정보보호위원회(이하 개인정보위)로부터 과징금 4억6300만원과 재발방지 명령을 받았다. 개인정보위는 인크루트의 반복적인 보안 관리 소홀을 중대 위반 사례로 판단하고, 전문 개인정보보호책임자(CPO) 신규 지정 등 강도 높은 시정조치를 의결했다.

개인정보위는 22일 열린 제22회 전체회의에서 인크루트의 개인정보보호법 위반 사실을 확인하고, 과징금 부과 및 피해 회복 지원, 내부 관리체계 강화 등 시정조치안을 의결했다고 23일 밝혔다.

조사 결과에 따르면, 인크루트는 지난 1월 신원미상의 해커가 내부 시스템에 침투해 약 한 달간 회원 727만여 명의 개인정보를 유출당했다. 해커는 인크루트 개인정보취급자의 업무용 PC에 악성코드를 감염시켜 DB 접속 계정을 탈취한 뒤, 이름·연락처·학력·경력·사진·장애 및 병역 여부 등 18개 항목에 달하는 개인정보를 포함한 438GB 분량의 데이터를 외부로 빼냈다.

그러나 인크루트는 업무시간 외 비정상적인 DB 접속 기록과 대용량 트래픽 등 명백한 침입 징후가 있었음에도, 약 두 달이 지난 후 해커의 협박 메일을 받고서야 유출 사실을 인지한 것으로 드러났다.

또한 개인정보취급자의 PC에 인터넷망 차단 조치를 하지 않은 점, 2023년에도 유사한 사고로 과징금 처분을 받은 이력이 있음에도 같은 유형의 안전조치 위반이 반복된 점 등이 중대하게 지적됐다.

개인정보위는 “인크루트는 다량의 민감정보를 보유한 구직 플랫폼으로서 고도의 보안 관리가 필수임에도 이를 소홀히 했다”며 “반복적 유출 사고에 대해 엄정히 대응할 필요가 있다”고 밝혔다.

이에 따라 인크루트는 ▲홈페이지에 처분 사실 공표 ▲전문 CPO 신규 지정 ▲피해자 지원 및 재발방지 대책 마련 후 60일 내 보고 등의 조치를 이행해야 한다.

개인정보위 관계자는 “취업포털은 구직자의 학력, 경력, 병역, 장애 정보 등 민감한 개인정보를 대규모로 보유하고 있는 만큼, 철저한 보호조치 의무를 다해야 한다”면서 “유출 사고가 반복되는 기업에 대해서는 징벌적 효과를 강화하는 과징금 제도 개선안도 추진 중”이라고 밝혔다.

이번 조치는 개인정보 보호의 중요성이 커지는 가운데, 기업의 보안 관리 미흡이 단순한 실수가 아닌 ‘경영 리스크’로 직결될 수 있음을 보여주는 대표적 사례로 평가된다.