공공기관들이 점차 증가하고 있는 개인정보의 유출 방지를 위해 관리체계·보호대책을 강화 중인 가운데 용인문화재단(대표이사 김남숙)에서 최근 홈페이지 가입회원의 개인정보 유출사고가 발생했던 것으로 알려졌다.

특히 유출된 회원의 개인정보는 수년전에 이미 해킹이 된 것으로 드러났으며, 이 같은 사실도 최근에서야 확인돼 충격을 주고 있다.

이를 뒤늦게 알게 된 재단은 그때서야 비로서 홈페이지의 점검과 보완 조치를 완료하고, 유출 정보 파일의 삭제와 추가 피해 확인을 위해 한국인터넷진흥원에 사건 신고를 접수한 데 이어 용인서부경찰서에 수사를 의뢰하는 등 부산을 떨었다.

재단에 따르면 지난 10일 오후 5시경, 러시아에 소재한 한 해외 사이트에 재단 홈페이지 회원 개인정보로 추측되는 암호화 된 파일이 게시된 것을 인지했다고 한다.

그 결과 개인정보 일부가 재단 홈페이지 회원의 개인정보와 일치한 것으로 드러났으며, 이미 지난 2017년 9월경 제3자의 해킹으로 유출됐음을 확인했다고 재단은 밝혔다.

재단 측은 유출된 개인정보는 암호화 된 이메일 주소 및 암호화 된 재단 홈페이지 로그인 비밀번호 두 항목이라고 주장하고 있다.

재단 관계자는 “암호화 된 이메일 주소를 확인할 수 있는 키 값은 유출되지 않은 것으로 추측되고, 암호화 된 비밀번호는 재단에서도 복원하지 못하도록 돼있어 해당 개인정보 유출로 인한 피해 발생 가능성은 낮다고 판단된다”고 추측했다.

아울러 재단은 개인정보가 유출된 해당 회원에게는 혹시 모를 피해에 대한 최소화를 위해 재단 홈페이지 로그인 비밀번호 변경해 줄 것을 이메일로 통지했다.

홈페이지 개인정보 유출 사고가 발생하자 재단은 모니터링 및 개인정보 보호 조치 등 내부 개인정보 보호 관리체계 개선, 관계 직원 교육 강화 등 향후 유사 사례 재발 방지를 위해 최선의 노력을 다하겠다고 밝혔다.

이와 관련해 행정안전부의 「공공기관 개인정보보호 지침」에 따르면 필수정보만 최소화 수집, 주민번호 및 건강정보 등 민감정보 수집 금지, 제3자 제공 금지, 개인정보 처리시 개인정보 처리방침 공개, 방화벽·백신·접근 통제 등 안전성 확보, 회원 가입시 주민번호 대체 수단을 도입하여야 한다고 규정돼있다.

개인정보의 처리 및 보호에 관한 「개인정보 보호법」제29조를 보면 ‘개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.’고 규정돼있다.

이를 어겨 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당한 자도 2년 이하의 징역 또는 2천만원 이하의 벌금에 처하되, 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 위반행위를 하여도 법인·개인도 벌금형에 처하도록 쌍벌 규정으로 돼있다.