“취업생 신뢰 또 무너졌다”…인크루트, 730만명 정보 두 달간 몰랐다

국내 주요 취업 포털 인크루트가 해킹 공격을 받아 727만여 명에 달하는 회원들의 개인정보가 유출되는 초유의 사태가 발생했다.

특히 인크루트는 해킹 발생 후 두 달이 지나서야 사고를 인지한 것으로 드러나, 개인정보보호 체계에 총체적 허점이 드러났다는 비판이 거세지고 있다.

개인정보보호위원회(이하 개인정보위)는 이 반복적인 위반 행위를 심각하게 보고, 인크루트에 과징금 4억 6,300만 원 부과와 함께 전문 최고개인정보보호책임자(CPO) 신규 지정 등 시정조치를 명령했다.

불과 1년 전인 2024년 7월에도 유사한 위반으로 제재를 받았던 터라, 이번 사건을 계기로 개인정보 보호에 소홀한 기업에 대한 징벌적 제재 강화 방침이 예고됐다.

727만 명 개인정보·이력서 대거 유출, 해킹에 '속수무책'

이번 사건은 2025년 1월에 발생했으며, 신원이 확인되지 않은 해커가 인크루트 내부 시스템에 침투해 직원의 업무용 PC에 악성코드를 심고 데이터베이스(DB)에 접근하는 방식으로 이루어졌다.

해커는 약 한 달간 무단 침투 상태를 유지하며 회원 727만 5,843명의 이름, 연락처, 생년월일 등 개인정보를 탈취했다. 더욱 심각한 것은 이력서, 자기소개서, 자격증 사본 등 개인 저장 파일 5만 4,475건(총 438GB)의 민감 정보까지 함께 유출됐다는 점이다.

취업 포털의 특성상 이력서 등에는 고도의 민감 정보가 포함되어 있어 피해의 심각성이 더욱 크다.

개인정보위 조사 결과, 이번 해킹 피해는 인크루트의 기본적인 안전조치 의무 미흡에서 비롯된 것으로 확인됐다.

개인정보를 외부에 노출시킨 '망분리 미실시'

개인정보위 조사 결과에 따르면, 인크루트는 민감한 개인정보를 다루는 직원의 PC가 인터넷망과 분리되지 않은 상태로 방치되어 있었다. 이는 외부에서 개인정보를 다운로드하거나 삭제할 수 있는 환경이었음을 의미하며, 개인정보 보호법 제29조의 안전조치 의무 중 접근통제 조치를 위반한 것으로 해석된다.

법적 분석에 따르면, 개인정보처리자는 개인정보처리시스템에 대한 접근권한 관리 및 접근통제 조치 의무를 철저히 이행해야 하지만, 인크루트의 경우 가장 기본적인 망분리 조치가 미흡했다는 지적을 피하기 어렵다.

'협박 메일' 받고서야 알았다…두 달 만의 늑장 인지

더욱 충격적인 것은 인크루트가 해킹 발생 후 약 두 달이 지나서야 유출 사실을 인지했다는 점이다.

조사 결과, 해커가 개인정보를 탈취하는 과정에서 업무 시간 외 비정상적인 대용량 트래픽이 반복적으로 발생했으나, 인크루트는 이에 대해 별다른 대응을 하지 않았다. 결국 해커로부터 협박 메일을 받은 뒤에야 사고를 인지한 것으로 드러났다.

이는 개인정보 보호법 제34조에 따른 개인정보 유출 신고 및 통지 의무를 위반한 것으로 평가된다. 침입탐지시스템 등을 통한 불법적인 접근 및 침해사고 방지 조치가 소홀했으며, 적절한 모니터링 체계가 부재하여 지연 인지로 이어진 것으로 보인다.

'반복적 위반' 심각하게 본 개인정보위, 4억 6300만 원 과징금

개인정보위는 인크루트의 반복적 위반 행위를 심각하게 보고 현행 법규를 엄격히 적용했다.

인크루트는 지난해 7월에도 약 3만 5,000건의 개인정보 유출로 과징금 7,060만 원과 과태료 360만 원을 부과받은 바 있다. 불과 1년 만에 유사한 사고가 재발하자, 개인정보위는 과징금 4억 6,300만 원을 부과하고 재발 방지 대책을 명령했다.

법적으로는 반복적 위반이 가중 사유에 해당하며, 이번 사안의 경우 727만 명이라는 대규모 유출, 이력서 등 민감 정보 포함, 사고 대응 지연 등 여러 사정을 종합적으로 고려할 때 과징금 부과는 적법한 것으로 판단된다.

개인정보위는 향후 유출 사고가 반복되는 기업에 대해 징벌적 효과를 갖는 과징금 제도 개선안을 추진하는 등 제재의 실효성을 높이겠다는 방침이다.

피해자, '법정 손해배상'으로 구제받을 수 있나?

개인정보 유출 피해를 입은 정보주체들은 인크루트를 상대로 민사상 손해배상을 청구할 수 있을 것으로 보인다.

개인정보 보호법 제39조에 따라 정보주체는 개인정보처리자의 고의 또는 과실로 피해를 입은 경우 손해배상을 청구할 수 있다. 이번 사건은 안전조치 미흡 및 사고 대응 지연 등 인크루트의 관리 소홀이 인정되므로, 위자료로 배상할 만한 정신적 손해가 발생했다고 판단될 가능성이 높다.

특히 유출된 정보에 이력서, 자격증 사본 등 민감 정보가 포함되어 있어 피해의 심각성이 더욱 크다.

나아가 제39조의2에 따른 법정손해배상 청구도 가능하다. 정보주체는 실제 손해를 입증하지 않더라도 300만 원 이하의 범위에서 손해배상을 청구할 수 있으며, 인크루트가 고의 또는 과실이 없음을 입증하지 못하면 책임을 면할 수 없다.

인크루트는 이미 안전조치 의무 위반이 인정되었으므로, 정보주체들은 법정손해배상을 통해 용이하게 권리 구제를 받을 수 있을 것으로 분석된다.

대규모 개인정보 유출, 기업의 재발 방지 대책은?

개인정보위는 인크루트에 전문 CPO 신규 지정과 피해자 지원 등 재발 방지 대책 마련을 명령했다. 인크루트와 같은 기업은 다음의 구체적인 조치를 통해 개인정보 보호를 강화해야 한다.

1. 기술적 안전조치 강화

• 망분리 조치 철저: 민감 정보 취급 직원의 PC는 인터넷망과 완전히 분리하고, 개인정보처리시스템에 대한 접근통제 및 권한 관리를 엄격히 시행한다.

• 침입 탐지 및 대응: 비정상적인 트래픽 등 이상 징후를 실시간으로 모니터링하고, 즉시 탐지 및 차단할 수 있는 침입차단·탐지시스템을 체계적으로 운영한다.

• 개인정보 암호화: 비밀번호, 민감 정보는 강력한 방법으로 암호화하여 저장하며, 통신 시에도 암호화 조치를 적용한다.

2. 관리적 안전조치 강화

• 전문 CPO 권한 강화: 개인정보 보호에 전문성을 갖춘 CPO를 지정하고, 독립적인 권한을 부여하여 개인정보 보호 활동을 총괄하게 한다.

• 사고 대응 체계 구축: 침해사고 발생 시 신속한 탐지, 분석, 대응을 위한 매뉴얼을 수립하고 정기적인 훈련을 실시한다. 유출 인지 즉시 정보주체에게 통지하고 개인정보위에 신고해야 한다.

• 정기적 점검: 개인정보 영향평가를 실시하고, 외부 전문기관을 통한 보안 취약점 분석 및 모의 해킹 테스트를 정기적으로 수행한다.

개인정보 보호는 기업의 단순한 법적 의무 이행을 넘어 신뢰와 지속가능성을 위한 필수적인 투자로 인식되어야 한다.

특히 반복적인 위반에 대해서는 더욱 강력한 제재가 예고된 만큼, 기업들은 개인정보 보호에 대한 경영진의 강력한 의지와 충분한 예산 및 인력 투입을 통해 근본적인 개선을 이뤄야 한다.