개인정보보호위원회 전체회의 개최 (서울=연합뉴스) 최재구 기자 = 고학수 위원장을 비롯한 개인정보보호위원회 위원들이 8일 서울 종로구 정부서울청사에서 개인정보보호위원회 전체회의에서 국기에 경례하고 있다. 2025.1.8 jjaeck9@yna.co.kr

(서울=연합뉴스) 이상서 기자 = 주민등록번호와 혼인관계증명서 등 최소 1만8천명에 달하는 국민의 개인정보를 유출한 법원행정처가 개인정보보호법 개정 전 기준으로 공공기관 역대 최대 과징금인 2억여원을 물게 됐다.

분석된 유출 규모가 전체 유출 데이터의 0.4%대에 불과해 실제 유출된 개인정보는 이보다 수백 배 많을 것이라는 분석도 나온다.

개인정보보호위원회는 8일 '제1회 전체회의'를 열고, 개인정보보호법을 위반한 법원행정처에 이 같은 규모의 과징금과 시정명령 처분을 의결했다고 9일 밝혔다.

개인정보위 조사 결과 법원행정처는 이용상 편의를 위해 내부망과 외부망 간에 상호 접속이 가능하도록 네트워크 통신 통로인 '포트'를 개방해 운영한 사실이 드러났다.

이 틈을 노려 침입한 해커는 내부망 전자소송 서버에 저장된 자필 진술서와 혼인관계증명서, 진단서 등 다량의 문서가 포함된 1천14 기가바이트(GB) 분량의 데이터를 유출했다.

이 가운데 경찰 수사에서 복원된 4.7GB의 파일을 분석한 결과, 해당 데이터에서는 주민등록번호를 포함한 1만7천998명의 개인정보가 확인됐다.

구체적으로 주민등록번호 2천10명, 이름 1만5천명, 생년월일 2천300명, 연락처 2천명, 소송 관련 문서 1만89개 등이다.

복원된 규모가 전체 유출량의 0.46%에 불과하다는 점을 감안한다면, 실제 개인정보 유출 건수는 확인된 규모보다 250배 이상 클 가능성도 배제할 수는 없다고 개인정보위는 설명했다.

법원행정처는 소송 관련 문서를 전자소송 서버에 보관하면서 주민등록번호가 포함된 소송문서를 암호화하지 않았던 점도 이번 조사에서 드러났다.

인터넷가상화시스템 계정을 관리하는 서버인 '인터넷AD서버 관리자 계정'과 기존 업무용 PC를 그대로 인터넷 환경만 가상화로 전환해 사용한 '인터넷가상화PC 취급자 계정'의 비밀번호는 유추하기 쉬운 것을 사용했다.

내부망에 있는 '인터넷가상화웹서버'에 백신 소프트웨어 등 보안프로그램을 설치하지 않고 운영하는 등 기본적인 안전조치가 미흡했던 점도 지적됐다.

이밖에 법원행정처는 2023년 4월 개인정보 유출 정황을 인지했지만, 약 8개월이 지난 같은 해 12월에서야 이 사실을 신고하고 홈페이지에 관련 안내문을 게시했다.

이에 개인정보위는 법원행정처에 과징금 2억700만원과 과태료 600만원을 부과하고 관련 내용을 공표하기로 했다.

법원행정처에 부과된 과징금은 2023년 9월 개인정보보호법이 개정되기 전 기준으로 공공기관 과징금 가운데 가장 많은 액수다.

개정 이후를 포함하면 공공기관 최다 과징금은 135만명의 개인정보를 유출한 한국사회복지협의회에 작년 9월 부과된 4억8천만원이다.

강대현 개인정보위 조사총괄과장은 브리핑에서 "(개인정보 보호 조치가 강화된) 개정 이후 관련법을 적용했다면 이보다 더 많은 과징금이 부과됐을 것"이라며 "유출 경위나 위반하게 된 목적 등을 봤을 때 중과실로 판단했고, 개정 전 법 기준으로 엄정하게 적용했다"고 말했다.

법원행정처 개인정보 유출 경로 [개인정보보호위원회 제공]

shlamazel@yna.co.kr

▶제보는 카카오톡 okjebo
▶연합뉴스 앱 지금 바로 다운받기~
▶네이버 연합뉴스 채널 구독하기
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>