1월 개인정보 유출 사고 후 9개월 넘도록 보안 시스템 강화 조치 없어
[더팩트 l 광주=나윤상 기자] 한국사회복지협회의 대규모 개인정보 유출 사고가 일어난 지 9개월이 넘도록 시스템 보안 강화가 이루어지지 않고 있다.
또 사고 책임자는 징계가 아닌 오히려 승진이 된 사실이 알려지며 향후 대책과 함께 관련 책임자를 징계해야 한다는 지적이 나왔다.
21일 국회 보건복지위원회 소속 전진숙 더불어민주당(광주 북구을) 의원이 개인정보보호위원회 및 한국사회복지협의회로부터 제출받은 자료에 따르면, 지난 1월 개인정보 유출 사고로 135만 3327명의 약 1300만 건에 달하는 개인정보가 유출됐다. 유출된 정보에는 이름, 생년월일, 주소, 연락처, 직업, 학력, 학교 정보, 자격면허 보유 여부 등 광범위한 항목들이 포함돼 있는 등 피해 범위가 컸다.
이번 유출 사고는 VMS 시스템의 비밀번호 변경 기능에 존재한 취약점을 해커가 악용해 발생했다. 특히 2024년 1월 해커가 2000만 회 이상 시스템에 접속해 비밀번호를 일괄적으로 변경하고 개인정보를 탈취했음에도 한국사회복지협의회는 이를 탐지하지 못한 채 뒤늦게 대응했다.
하지만 사고 이후 9개월이 지난 지금까지도 여전히 시스템의 보안 강화가 이루어지지 않은 것으로 드러났다. 현재 임시적으로 주민등록번호를 수집하지 않을 수 있는 ‘일반 회원가입’ 기능이 도입된 상태지만, 일반 회원가입의 경우 봉사 실적을 등록할 수 없다. VMS 시스템이 자원봉사 실적 정보 관리를 목적으로 하고 있다는 점을 고려할 때 사실상 아무 조치도 이루어지지 않은 셈이다.
더욱 논란이 되는 것은 이번 사고가 일어난 VMS 시스템의 관리를 담당하는 자원봉사사업단장이 사고 6개월 후인 올해 7월 오히려 승진했다는 점이다. 특히 자원봉사사업단은 2014년 개정된 개인정보보호법에 따라 주민등록번호 대체 인증 수단을 도입했어야 했음에도 불구하고 이를 10년 가까이 이행하지 않아 직무유기를 저질렀다는 지적을 받고 있다.
전진숙 의원은 "한국사회복지협의회가 대규모 개인정보 유출 사고를 일으킨 후에도 관련 책임자를 승진시킨 것은 국민의 신뢰를 저버리는 처사"라며 "한국사회복지협의회는 이번 사고의 심각성을 인식하고, 관련 책임자에 대한 엄정한 징계와 함께 재발 방지 대책을 마련해야 한다"고 말했다.
kncfe00@tf.co.kr
- 발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
- ▶카카오톡: '더팩트제보' 검색
- ▶이메일: jebo@tf.co.kr
- ▶뉴스 홈페이지: http://talk.tf.co.kr/bbs/report/write
- - 네이버 메인 더팩트 구독하고 [특종보자▶]
- - 그곳이 알고싶냐? [영상보기▶]