인정지원센터·텔루스, 개인정보보호법 위반…1억3720만원 과징금

(서울=뉴스1) 이기림 기자 = 개인정보 보호 법규를 위반한 한국인정지원센터와 텔루스(TELUS International AI)가 총 1억 3720만 원의 과징금과 1320만 원의 과태료를 부과받았다.

개인정보보호위원회는 지난 25일 제14회 전체회의를 열고, 이같이 의결했다고 25일 밝혔다.

한국인정지원센터는 깃허브, 텔레그램에 자사 홈페이지 회원의 개인정보가 공개된 사실을 확인하고 지난해 1월 개인정보위에 유출사실을 신고했다. 해커가 데이터베이스 명령어(SQL) 삽입 공격으로 홈페이지 회원 2만 1234명의 개인정보가 유출된 것이었다.

조사 결과, 한국인정지원센터는 홈페이지 게시판 등에 이용자가 입력하는 정보에 대한 검증 절차가 없어 데이터베이스 명령어 삽입 공격을 막지 못한 것으로 확인됐다.

관리자가 홈페이지에 접속할 때 일회용 비밀번호 같은 안전한 인증수단도 적용하지 않았다. 2001년부터 2014년까지 수집한 회원의 주민등록번호도 파기하지 않고 계속 보관하다 같이 유출됐다.

한국인정지원센터처럼 법령상 근거가 없는 경우에는 주민등록번호를 수집·이용할 수 없고, 2014년 주민등록번호 법정주의가 시행되면서 이미 수집한 주민등록번호를 2016년까지 파기했어야 했다.

이에 개인정보위는 한국인정지원센터에 과징금 5520만 원과 과태료 600만 원을 부과하고, 처분받은 사실을 개인정보위 홈페이지에 공표하기로 했다.

또한 텔루스가 지원자를 모집·관리하는 플랫폼이 2023년 해킹돼 한국 정보주체 1만 3622명, 전 세계에서는 약 68만 명의 개인정보가 유출된 것에 대한 제재도 이뤄졌다.

텔루스는 인공지능(AI) 학습데이터를 생성, 평가할 수 있는 지원자를 모집해 기업 고객의 프로젝트를 지원하는 플랫폼 운영회사다.

조사 결과, 텔루스는 플랫폼 기능 개선과정에서 보안취약점 점검을 소홀히 했다. 그 결과 관리자 권한을 확인하는 절차가 누락돼 해커가 일반 이용자로 로그인한 후 전체 이용자의 데이터에 접근할 수 있었다.

텔루스는 개인정보 유출을 2023년 11월 2일 인지했지만 정당한 사유 없이 72시간이 넘은 11월 14일 유출 신고하고, 이용자에게는 더 늦은 12월 8일에 개별 통지를 한 사실도 확인됐다.

개인정보위는 텔루스에 과징금 8200만 원과 과태료 720만 원을 부과하기로 했다.

lgirim@news1.kr