최장혁 개인정보보호위원회 부위원장이 10일 정부서울청사에서 개인정보보호위원회 8회 전체회의를 주재하고 있다. 〈사진=연합뉴스〉 개인정보 보호 조치를 소홀히 해 북한 해킹 조직에게 환자 81만여명의 정보를 빼앗긴 서울대학교 병원이 과징금 7475만원을 물게 됐습니다.
개인정보보호위원회는 오늘(10일) 전체회의에서 공공기관 14곳의 개인정보보호 법규 위반에 대해 심의해 서울대학교 병원과 국토교통부 등 2곳에 공공기관 최초로 과징금을 부과했습니다. 그 외 12곳에 대해서도 과태료 부과와 시정 명령을 의결했습니다.
서울대학교 병원은 안전조치 의무를 위반해 환자 65만 2930명의 정보가 북한 해커에 탈취되는 결과가 발생했습니다. 사망자를 포함하면 피해 규모는 81만 38명이며, 직원 1953명의 정보도 빠져나갔습니다.
이에 따라 개인정보보호위원회는 서울대학교 병원에 7475만원의 과징금과 660만원의 과태료를 부과했습니다. 건축행정시스템 수정과정에서 오류로 주민등록번호를 유출한 국토교통부는 과징금 2500만원을 물게 됐습니다.
이 밖에도 개인정보를 잘못 발송하거나 재활용 분리장에 방치하는 등 행위로 개인정보를 유출한 나머지 8곳에 대해서는 300만원에서 900만원의 과태료가 부과됐습니다.
아울러 개인정보 침해 신고 등으로 조사를 받은 기관 4곳에 대해서는 시스템 접근 권한을 제대로 관리하지 않거나, 동의 없는 개인정보 수집, 보유기간이 지난 개인정보 미 파기 등 법 위반 사실이 확인돼 과태료 처분이 내려졌습니다.
이 가운데 특히 지난해 9월 발생한 '신당역 스토킹 살인사건'과 관련해 전 직원에게 다른 직원의 주소지를 검색할 수 있는 접근 권한을 부여하고, 직위 해제된 직원의 접근 권한을 바로 없애지 않은 서울교통공사가 360만원의 과태료 처분을 받았습니다.
이와 함께 서울교통공사는 2차 피해의 중대성과 심각성을 고려해 2개월 이내에 보유 시스템 전반을 점검하고 개인정보보호 강화 대책을 수립하도록 하는 개선 권고 조치도 받았습니다.
남석 개인정보보호위원회 조사조정국장은 "공공기관의 경우 다량의 개인정보를 처리하고 있어 작은 위반 행위로도 심각한 피해로 이어질 가능성이 큰 만큼 담당자들의 세심한 주의가 필요하다"고 말했습니다.