엑셀파일 공유하다 1700만원 과징금…의료재단 개인정보유출 제재

개인정보보호위원회, 2개 사업자 제재 처분 의결

개인정보유출 등에 과징금·과태료 6625만원 부과

의료재단이 1000여건의 주민등록번호를 포함한 개인정보가 들어 있는 엑셀파일을 외부기관에 공유해 약 1700만원의 과징금 처분을 맞은 사례가 나왔다. 전산시스템이 아니라 일선 업무용 자료의 개인정보가 직원 부주의로 유출된 사례라 눈길을 끈다.

개인정보보호위원회는 10일 제4회 전체회의를 열고 사단법인 대우세계경영연구회와 의료법인 하나로의료재단에 총 6625만원의 과징금·과태료를 부과하는 제재 처분을 의결했다고 밝혔다. 대우세계경영연구회는 한국인터넷진흥원(KISA) 점검과정에서 누구나 홈페이지를 통해 회원 개인정보를 내려받을 수 있다는 사실이 발견됐고 하나로의료재단은 외부기관의 개인정보 탐지도구(툴)에서 주민등록번호가 검출됐다. 이들은 KISA의 통보를 받고 유출사실을 확인해 당국에 신고했다.

대우세계경영연구회는 권한이 없는 이들이 홈페이지에서 회원 개인정보를 조회하고 내려받은 것으로 드러났다. 접근권한 관리부실과 주민등록번호에 대해 안전하지 않은 암호 알고리즘 적용 등 미흡한 조치로 주민등록번호 4182건을 포함한 회원 개인정보 5669건이 유출됐다. 법적 근거 없는 주민등록번호 처리, 개인정보 수집동의항목 누락, 보유기간 경과 개인정보 미파기, 유출사실 통지항목 누락, 업무위탁시 개인정보처리 누락 등 법규 위반 사실이 확인됐다. 개인정보위는 이에 주민등록번호 유출과 안전성 확보조치 위반 과징금 2437만5000원, 법적 근거 없는 주민등록번호 처리 등 위반에 과태료 1600만원을 부과했다.

하나로의료재단은 환자의 진료 및 건강검진을 하는 의료법인이다. 실무자가 파일의 별도영역에 개인정보가 기록된 사실을 모른 채 엑셀자료를 장기간 사용하다 해당 자료를 외부기관에 전송하는 과정에서 건강검진 대상자의 주민등록번호 1139건을 포함한 개인정보 1147건을 유출했다. 또 운영중인 검진관리시스템에서 접근권한과 접속기록관리 부실, 불안전한 암호 알고리즘을 사용해 안전성 확보 조치가 미흡한 것으로 판정됐다. 개인정보위는 하나로의료재단에 주민등록번호 유출·암호화조치 위반으로 과징금 1687만5000원, 검진관리시스템 안전성 확보조치 위반에 과태료 900만원을 부과하고 임직원이 정기적인 개인정보보호교육을 받도록 권고했다.

송상훈 개인정보위 조사조정국장은 "주민등록번호는 개인의 신원을 명확히 구분할 수 있는 중요한 개인정보로 유출될 경우 범죄 등에 악용될 가능성이 많은 만큼 철저한 관리가 필요하다"며 "개인정보처리시스템은 물론 엑셀자료 등 개별자료에도 중요한 개인정보가 있을 수 있으므로 주요 자료의 암호화 등 안전성 확보 조치를 철저히 하고 임직원 교육 등을 통해 사소한 부주의도 없도록 해 달라"고 당부했다.
 

윤종인 개인정보보호위원회 위원장. [사진=개인정보보호위원회 제공]