온라인 취업 포털 사이트 인크루트가 730만 명에 육박하는 대규모 회원 개인정보 유출 사고를 겪고도, 해커의 협박 메일을 받기 전까지 두 달간 해당 사실조차 인지하지 못하는 심각한 보안 관리 부실을 드러냈다. 개인정보보호위원회는 23일, 이와 같은 안전 조치 의무 소홀의 책임을 물어 인크루트에 총 4억 6300만 원의 과징금을 부과했다.

개인정보위가 22일 전체 회의를 통해 의결한 조사 결과에 따르면, 이번 사고는 지난 1월 신원미상의 해커가 인크루트 직원의 업무용 개인 컴퓨터(PC)에 악성코드를 감염시키면서 시작됐다. 해커는 이를 통해 개인정보취급자의 데이터베이스 접속 계정 정보를 탈취했으며, 내부 시스템에 성공적으로 침투했다.

더 큰 문제는 인크루트의 사후 대응 능력이다. 인크루트는 지난 1월 해킹이 발생한 이후 두 달이 지나도록 이와 같은 대규모 정보 유출 사실을 전혀 파악하지 못했다. 유출 사실을 인지하게 된 계기마저 자체 모니터링이나 보안 시스템 작동이 아닌, 데이터를 탈취한 해커가 직접 보낸 협박 메일을 통해서였던 것으로 드러나 보안 체계가 사실상 마비됐다는 비판을 피하기 어렵게 됐다.

개인정보위는 구직자들이 취업을 위해 자신의 학력, 경력, 자격증 등 내밀한 개인정보를 입력하는 취업 포털의 특수성을 고려할 때 이번 사안이 매우 중대하다고 판단했다. 민감 정보를 대량으로 보유하고 있음에도 불구하고 접근 통제 등 핵심적인 안전 조치 의무를 소홀히 하여 막대한 피해를 유발했다는 것이다.

인크루트의 개인정보 보호 관련 행정처분은 이번이 처음이 아니다. 인크루트는 앞서 2020년에도 이용자 개인정보 3만 5076건이 유출되는 사고가 발생했으며, 이로 인해 2023년 7월 개인정보위로부터 과징금 7060만 원과 과태료 360만 원을 부과받은 전례가 있다. 불과 1년여 만에 또다시, 그리고 비교할 수 없이 큰 규모의 유출 사고를 반복한 셈이다.

개인정보위는 4억 원대의 과징금 부과와 함께 인크루트에 대해 정보보호최고책임자(CPO) 신규 지정, 피해자 회복 지원책 마련 등 재발 방지를 위한 시정 조치도 함께 명령했다.