|
[이데일리 이후섭 기자] 엑셀파일에 건강검진 대상자의 주민등록번호 등 개인정보가 담긴 줄 모르고 장기간 사용하다 외부로 유출시킨 의료재단 등에 총 6625만원의 과징금·과태료 부과 등 시정조치가 내려졌다. 홈페이지에서 개인정보를 아무나 내려받을 수 있도록 관리를 소홀히 해 개인정보 보호법을 위반한 사례도 발견됐다.
개인정보보호위원회는 10일 제4회 전체회의를 열고 대우세계경영연구회, 하나로의료재단 등 2개 사업자에 대한 제재 처분을 의결했다. 이번 조사는 해당 사업자의 개인정보 유출 신고로 시작됐다. 대우세계경영연구회는 한국인터넷진흥원(KISA)의 모니터링 과정에서 누구나 홈페이지를 통해 회원의 개인정보를 내려받을 수 있다는 사실이 발견됐고, 하나로의료재단은 외부기관의 개인정보 탐지도구(툴)에서 주민등록번호가 검출됐다. 이들은 KISA의 통보를 받고서야 유출사실을 확인하고 당국에 신고했다.
대우세계경영연구회는 연구 및 자문, 전문인력 양성지원, 평생교육시설 등의 사업을 운영하는 사단법인으로 홈페이지 내 회원의 개인정보를 조회하고 내려받기(다운로드)할 수 있는 웹페이지에 대한 접근을 통제하지 않아 권한없는 자가 웹페이지에 접속해 회원정보를 내려받은 것으로 나타났다.
박영수 개인정보위 조사1과장은 “KISA의 침해 탐지를 담당하는 팀에서 주기적으로 상황을 모니터링하는 과정에서 대우세계경영연구회의 홈페이지가 열려 있다는 사실을 확인했다”며 “이를 대우세계경영연구회에 통보해 본인들이 확인하게 했고, 현장조사를 나가 보완조치 및 지도까지 완료했다”고 설명했다.
홈페이지에 대한 접근권한 관리 부실, 주민등록번호 등에 대해 안전하지 않은 암호 연산방식(알고리즘) 사용 등으로 회원의 개인정보 5669건(주민등록번호 4182건 포함)이 유출되는 결과를 초래했다. 이에 더해 △법적 근거 없이 주민등록번호 처리 △개인정보 수집 동의 항목 누락 △보유기간이 지난 개인정보 미파기 △유출사실 통지 항목 누락 △업무 위탁 시 개인정보 처리 누락 등의 위반도 확인됐다.
하나로의료재단은 환자의 진료 및 건강검진을 하는 의료법인으로, 엑셀자료 별도 영역에 개인정보가 담겨진 사실을 모르고 장기간 사용하다 해당 자료를 외부기관에 전송하는 과정에서 건강검진 대상자의 개인정보 1147건(주민등록번호 1139건 포함)이 유출됐다. 운영 중인 검진관리시스템에서 접근권한 및 접속기록 관리 부실, 불안전한 암호 연산방식 사용 등 안전성 확보 조치를 소홀히 하고 있던 사실도 확인했다.
박 과장은 “다른 용도로 쓰던 엑셀파일에 건강검진 항목이 포함된 파일을 연결해 건강검진 홍보용으로 협력병원에 제공했고, 협력병원에서 파일의 이름만 바꿔 공무원 복지항목으로 창녕군청에 넘어갔다”며 “창녕군청 담당자가 해당 파일을 게시판에 올리는 과정에서 `프라이버시-아이`라는 시스템을 통해 검출됐다”고 설명했다.
개인정보위는 이들 업체에 과징금 및 과태료 부과, 개선권고 처분을 내렸다. 대우세계경영연구회에 대해서는 주민등록번호 유출 및 안전성 확보 조치 위반으로 과징금 2437만5000원을 부과하고, 법적 근거 없는 주민등록번호 처리 등 위반에 대해 과태료 1600만원을 부과했다. 하나로의료재단에는 주민등록번호 유출 및 암호화 조치 위반으로 과징금 1687만5000원, 검진관리시스템 안전성 확보 조치 위반에 대해 과태료 900만원을 부과하고 임직원들이 정기적인 개인정보 보호 교육을 받도록 개선권고 조치도 했다.
박 과장은 “개선권고에 대해 강제할 수단은 없지만, 개선권고 조치 명령을 내릴 때 거기에 따른 이행사항도 개인정보위가 확인을 하게 돼있다”며 “확인하는 과정에서 조치 사항이 준수될 수 있도록 지도·감독하도록 하겠다”고 강조했다.