개보위, 730만 명 정보 유출에도 두 달간 몰랐던 인크루트에 과징금 4억 원

2023년에도 개인정보 유출

"사고 반복에 법령 엄격 적용"

송경희 개인정보보호위원회 위원장이 22일 서울 종로구 정부서울청사에서 열린 2025년 제22회 전체회의에서 발언하고 있다. 연합뉴스

개인정보보호위원회는 22일 전체회의를 열고 해킹으로 730만여명의 회원 개인정보가 유출된 온라인 취업포털 인크루트에 과징금 4억 6300만 원을 부과하기로 의결했다고 23일 밝혔다.

조사 결과 해커는 올해 1월 인크루트 직원의 업무용 컴퓨터에 악성코드를 심은 뒤, 탈취한 데이터베이스(DB) 접속계정으로 내부 시스템에 침투했다. 이 과정에서 전체 회원 727만 5843명의 개인정보와 이력서·자기소개서·자격증 사본 등 개인저장파일 5만 4475건(약 438GB)을 한 달여에 걸쳐 탈취한 것으로 드러났다.

업무시간 외 비정상적인 DB 접속기록과 대용량 트래픽이 발생했음에도 인크루트는 별다른 조처를 하지 않았고, 두 달이 지난 뒤 해커의 협박 메일을 받고서야 사고 사실을 인지한 것으로 확인됐다. 또 민감정보를 포함한 다량의 개인정보를 다운로드·파기할 수 있는 개인정보취급자용 컴퓨터를 인터넷망과 분리하지 않는 등 안전조치 의무도 위반한 것으로 드러났다.



인크루트는 '크리덴셜 스터핑' 공격으로 회원정보 3만 5000여건이 유출돼 지난 2023년 개인정보위로부터 과징금 7060만 원과 과태료 360만 원을 부과받은 바 있다. 크리덴셜 스터핑은 타 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도하는 해킹 공격이다.

개인정보위는 3년 이내 동일 사업자의 유출 사고가 반복된 점을 엄중히 보고, 현행 법령을 엄격히 적용해 과징금을 산정했다고 설명했다. 아울러 개인정보위는 인크루트에 전문 개인정보보호책임자(CPO)를 새로 지정해 역할과 책임을 명확히 하고, 정보주체 피해회복 지원을 포함한 재발 방지 계획을 60일 이내에 제출하도록 시정 명령했다.

개인정보위는 "유출 사고가 반복되는 등 개인정보 보호에 현저히 소홀한 기업에 대해 징벌적 효과를 갖는 과징금 제도 개선안을 마련 중"이라며 "제재의 실효성을 강화해 기업들의 경각심을 높이겠다"고 밝혔다.