안전조치 의무 위반으로 소송 당사자 등의 개인정보를 유출한 법원행정처에 2억원대 과징금이 부과됐다. 개정 전 개인정보보호법이 적용된 사안이지만 공공기관에 대한 제재가 ‘솜방망이’에 불과하다는 지적도 인다.
개인정보보호위원회(개인정보위)는 9일 개인정보보호 법규를 위반한 법원행정처에 대해 2억700만원의 과징금과 600만원의 과태료를 부과하고 개선권고를 의결했다고 밝혔다.
개인정보위에 따르면 해커는 법원행정처 내부망 전자소송 서버에 저장된 1014GB 분량의 데이터를 탈취했다. 법원행정처에서 내부망과 외부망간 상호접속이 가능하도록 포트를 개방해 운영했기 때문이다. 1014GB의 데이터에는 자필 진술서와 혼인관계증명서, 진단서 등 다량의 소송 문서가 포함돼 있었다.
경찰 수사 결과, 탈취된 데이터 중 0.46%에 해당하는 4.7GB의 파일만 복원·분석했다. 그 결과 2000건의 주민등록번호를 포함한 1만7998명의 개인정보가 확인됐다. 이름과 생년월일, 연락처, 주소, 나이, 성별 등도 담겼다. 해당 해킹은 북한 소행으로 추정되고 있다.
피해 규모는 현재 파악된 것보다 더욱 클 것으로 보인다. 탈취된 데이터 중 0.46%만 복원, 확인했기에 나머지 99.5% 데이터에 상당한 규모의 개인정보가 담겼을 것으로 추정된다.
법원행정처는 기본적인 안전조치를 지키지 않았다. 소송 관련 문서를 전자소송 서버에 저장·보관하면서 주민등록번호가 포함된 소송문서를 암호화하지 않았다. 인터넷AD서버 관리자 계정과 인터넷가상화PC 취급자 계정의 비밀번호도 허술하게 관리했다. 유추하기 쉬운 계정 초기 비밀번호를 그대로 사용했다. 내부망에도 백신소프트웨어 등 보안프로그램을 설치하지 않고 운영했다.
개인정보 유출 및 신고 의무도 준수하지 않았다. 법원행정처는 지난 2023년 4월 법원 전산망에서 개인정보가 유출된 정황을 인지했음에도 같은해 12월7일 개인정보 유출 신고를 하고 홈페이지에 유출 관련 안내문을 게시했다. 개개인에 대한 유출 통지는 지난해 6월에서야 이뤄졌다.
이에 따라 개인정보위는 법원행정처에 과징금과 과태료를 부과하고 관련 내용을 공표했다. 개인정보처리시스템 운영체계 및 조직·인력, 관련 규정 등 보호체계 전반에 걸쳐 안전조치 실태를 점검하고 개인정보 보호조치 수준 향상 방안을 마련하도록 개선권고했다. 유출 관련 책임자에 대한 징계도 권고했으나, 실제 징계는 법원행정처의 몫이다.
이번 징계는 개정 전 개인정보보호법이 적용된 공공기관 제재 처분 중 과태료 규모가 가장 큰 건이다. 개정 전 법에서는 주민등록번호의 유출에 대해서만 제재가 가능하다. 이번 사안에서 유출이 확인된 주민등록번호는 2000건으로 알려졌다. 또한 개정 전 법에서는 공공기관에 최대 5억원의 과징금이 부과됐으나 현재는 20억원까지 부과 가능하다. 개정된 개인정보보호법이 적용됐다면 과징금의 규모는 더욱 커졌을 것으로 보인다.
공공기관에 대한 처분이 솜방망이라는 지적도 나왔다. 전체 매출액의 3%를 과징금으로 부과받는 민간 기업 등과 비교하면 처벌이 약하다는 것이다.
강대현 개인정보위 조사총괄과장은 “국가기관은 회계상의 수입이 없다 보니 정액제로 부과하고 있다”며 “공공기관에 대한 행정적인 제재를 강화하고 모니터링을 보다 확대하겠다”고 강조했다.
