시스템 개발과 운영을 외주에 맡겼더라도 최종 책임은 공공기관에 있다는 원칙이 다시 확인됐다.
개인정보보호위원회(위원장 송경희)는 지난 27일 전체회의를 열고, 행정안전부와 농촌진흥청 등 4개 공공기관 및 수탁업체 1곳에 대해 총 5억 4,660만 원의 과징금과 1,200만 원의 과태료를 부과했다고 밝혔다.
가장 큰 제재를 받은 기관은 행정안전부다. 정부24 및 공유누리 서비스를 운영하는 행안부는 과징금 2억 7,300만 원과 과태료 750만 원을 부과받고, 처분 결과 공표 명령도 함께 받았다.
정부24는 주민등록등본 발급 등 정부·지자체·공공기관의 각종 행정 서비스와 정책 정보를 한곳에서 이용할 수 있는 통합 전자정부 포털이다.
공유누리는 중앙부처와 지자체, 공공기관이 보유한 공공시설·물품·주차장·강좌 등 개방 자원을 국민이 온라인으로 검색하고 예약할 수 있도록 한 통합 플랫폼이다.
조사 결과 행안부는 2024년 4월 국세 납세증명서 서식 변경 과정에서 소스코드 수정 작업을 진행하면서 핵심 테스트를 누락했고, 이로 인해 교육부 NEIS 연계 민원서류 및 국세청 납세증명서 발급 과정에서 오류가 발생했다.
그 결과 약 1,233명의 성명, 생년월일, 주민등록번호 등 개인정보가 타인에게 그대로 노출된 것으로 확인됐다.
또한 2025년 5월에는 주민등록증 발급상황 조회 서비스의 본인 인증 모듈 취약점으로 인해 사망자 1명을 포함한 4건의 발급 정보가 제3자에게 조회되는 사고도 발생했다.
이 외에도 내부 시스템인 공유누리 업무게시판 접근 통제 실패로 공공주차장 담당자 3,800여 명의 이름과 연락처가 외부 검색엔진에 노출된 사실도 드러났다.
개인정보처리방침에 위탁업무와 수탁자를 공개하면서 수탁업체인 메타빌드㈜를 누락(‘23.9.18.~’24.5.1.)한 사실도 확인됐다.
특히 행안부는 개인정보 유출 사실을 인지한 이후에도 법정 기한인 72시간을 넘겨 수일에서 수십 일 뒤에야 당사자에게 통지한 것으로 확인돼 ‘유출 통지 의무 위반’도 지적받았다.
◇농진청 등 3개 기관, 해킹으로 57만 건 유출…관리감독 부실 도마
농촌진흥청과 소속기관(국립농업과학원, 국립축산과학원)도 수탁업체 관리 부실로 대규모 해킹 피해를 키운 것으로 드러났다.
2025년 4월 유지보수 업무를 맡은 수탁업체 ㈜미소테크의 네트워크 저장장치(NAS)가 해킹당하면서 약 57만5천 건의 개인정보가 외부로 유출돼 다크웹에 게시됐다. 유출된 정보에는 이름, 주소, 연락처, 과학기술인번호 등이 포함됐다.
조사 결과 해당 업체는 계약 종료 이후에도 개인정보를 삭제하지 않고 보관했으며, 외부에서도 접근 가능한 NAS를 기본 계정 정보만으로 운영해 사실상 무방비 상태였던 것으로 확인됐다.
그러나 위탁기관인 농촌진흥청 등은 “자료 미보유 확약서”만 확보한 뒤 실제 데이터 삭제 여부를 현장 점검하지 않은 것으로 드러났다.
이에 따라 개인정보보호위원회는 농촌진흥청에 1억 6,800만 원, 국립농업과학원에 2,310만 원의 과징금을 부과했다. 수탁업체 ㈜미소테크에도 8,250만 원의 과징금과 450만 원의 과태료가 부과됐다.
개인정보보호위원회는 이번 제재가 공공부문 정보화 사업에서 발생하는 개인정보 유출 사고의 책임 구조를 명확히 했다는 점에서 의미가 있다고 설명했다.
소스코드 오류, 보안 취약점 방치 등 시스템 관리 실패로 발생한 사고는 최종 책임 주체인 공공기관이 부담해야 한다는 원칙을 다시 강조한 것이다. 동시에 수탁업체의 직접 과실 역시 별도로 제재했다.
개인정보위는 앞으로도 공공부문 정보화사업 과정에서 발생할 수 있는 개인정보 보호 취약요인을 지속적으로 점검하고, 위·수탁 구조에서 발생하는 관리 공백이 최소화될 수 있도록 공공기관들에 처분 사례를 공유하고, 현장 중심의 관리·감독 강화를 유도해 나갈 계획이다.
