공무원연금공단 전경. 공무원연금공단 제공공무원연금공단(이하 공단)과 강북구청이 개인정보보호법을 위반해 각각 과징금 5억 3200만 원과 3억 7800만 원을 부과받았다. 징계권고와 시정권고, 공표 명령도 내려졌다.
개인정보보호위원회는 전날 제5회 전체회의를 열고 '개인정보 보호법' 위반 2개 공공기관에 대한 처분을 의결했다고 26일 밝혔다.
위원회에 따르면, 공단이 운영하는 연금업무지원시스템(현 지능형연금복지시스템)은 2022년 4월 5일부터 2023년 10월 23일까지 외부인에 의해 뚫려 공무원 1036명의 인사기록카드, 소득 및 기여금 납부내역 등 개인정보를 무단 열람됐다.
해당 시스템은 공무원의 연금 가입 관리, 연금액 산출, 퇴직급여 심사 등을 위한 시스템으로, 기관별 연금담당자는 소속 공무원의 주민등록번호, 소득자료, 주소 등을 열람 가능하다.
조사 결과, 공단은 신청서에 신청자 서명 및 기관장 직인 누락, 위조 직인 날인 등 의심 정황이 있었음에도 해당 문서의 진위 검증을 제대로 하지 않은 채 5차례의 권한 신청을 모두 승인한 것으로 확인됐다.
또 공단은 전보, 업무 변경 등으로 연금담당자 권한을 상실한 자의 시스템 접근 권한을 지체없이 말소하지 않았다. 시스템 접속기록도 제대로 보관·관리하지 않았고 각 기관 연금담당자들의 접속기록 점검도 소홀히 한 것으로 나타났다.
이에 따라 위원회는 안전조치의무(접근권한, 접속기록)를 위반한 공무원연금공단에 과징금 5억 3200만원을 부과하고, 징계권고, 공표, 공표명령을 의결했다.
강북구청이 운영하는 영상정보제공시스템은 2024년 3월 4일 해커에 의해 관리자 페이지가 뚫렸다. 해커는 경찰 등 공무원 973명의 이름, 인증정보(ID/PW), 소속 등 개인정보를 다운로드한 것으로 조사됐다.
조사 결과 구청은 개인정보처리시스템 접속을 IP 주소 등으로 제한하지 않은 것으로 나타났다.
인터넷(외부망)으로 시스템 접속 시 안전한 접속수단 또는 인증수단을 적용하지 않아 해커의 불법 접근을 허용했다.
또 안전하지 않은 암호화 알고리즘으로 비밀번호를 암호화하고, 취급자의 접속기록을 1년 이상 보관‧관리하지 않았으며, 유출통지 항목을 일부 누락한 사실도 확인됐다.
이에 위원회는 안전조치 및 유출통지 의무를 위반한 강북구청에 과징금 3억 7800만 원과 과태료 480만 원을 부과했다. 또 유출통지 시 누락한 항목에 대해 통지하도록 시정을 권고하며, 공표와 공표명령을 의결했다.
위원회 관계자는 "국민의 민감한 개인정보를 대량으로 처리하는 공공기관은 개인정보처리시스템에 대한 안전조치의무 준수를 위한 각별한 주의가 필요하다"며 "지방자치단체에 대해 안전조치의무 준수 여부를 확인하도록 계도할 예정"이라고 밝혔다.