“취준생 730만명 정보유출”…인크루트, 반복 위반에 4.6억 과징금

온라인 취업포털 인크루트에서 해킹으로 인한 대규모 개인정보 유출사고가 발생하며 개인정보 보호의 중요성에 다시금 업계 이목이 쏠리고 있다. 올해 2월, 인크루트는 전체 회원 약 730만명의 개인정보가 유출되는 사고를 겪었고, 이로 인해 개인정보보호위원회는 인크루트에 과징금 4억6300만원을 부과하기로 결정했다. 업계는 이번 제재를 ‘반복 위반 기업에 대한 경고’로 해석하며, 앞으로 이와 유사한 사고 예방에 대대적 변화가 이뤄질지 주목하고 있다.

이번 유출사건의 핵심은 인크루트가 개인정보보호 법규에 따른 안전조치 의무를 제대로 이행하지 않은 데 있다. 조사 결과 업무시간 외 비정상적인 데이터베이스(DB) 접속, 대용량 트래픽 및 내부자료의 외부 유출 시도 등 이상징후가 포착됐지만, 인크루트는 두 달에 걸쳐 이를 감지하지 못했다. 해커의 협박 메일이 도착한 이후에야 유출사실을 인지한 점도 문제로 지적됐다. 인터넷망 분리 등 기본적인 정보보호 조치 미흡과 함께, 이력서·자기소개서·자격증 사본 등 민감정보가 포함된 방대한 개인정보가 보호 조치 없이 노출됐다.

기술적 측면에서 DB 접근 이상탐지 시스템 및 내·외부 망 분리, 관리자 통제와 모니터링 강화가 필수적임에도 대응이 느슨했다. 인크루트는 2023년에도 개인정보 유출로 제재를 받은 전력이 있어, 동일 기업 내 반복 위반사례라는 점에서 산업계 전반에 미치는 파장이 크다. 특히 온라인 플랫폼 기업들은 복수의 개인정보를 저장·활용하는 만큼, 해킹·침해 사고 발생 시 피해 확산이 빠르고 광범위하기 때문에 더욱 체계적인 보안 시스템 구축의 필요성이 부각되고 있다.

해외 사례와 비교하면, 유럽연합(EU)은 GDPR(일반개인정보보호법)을 통해 반복 위반 기업에 매출액 대비 대규모 과징금을 부과하고 있다. 미국·일본 등도 주요 IT기업의 개인정보 침해에 강한 법집행과 리스크 관리 체계를 강화해왔다. 국내에서도 최근 개인정보 보호 규율 강화 및 징벌적 과징금 도입 논의가 속도를 내고 있으며, 이번 처분은 이 같은 공론화에 힘을 싣는 계기로 볼 수 있다.

개인정보보호위원회는 인크루트에 과징금 부과와 함께 정보보호최고책임자(CPO) 신규 지정, 정보주체 대상 피해회복 지원, 홈페이지 처분 공표 등 강도 높은 시정조치를 명령했다. 위원회는 반복 유출 등 일부 기업의 보호 소홀을 엄중하게 인식한다며, 향후 징벌효과를 높인 과징금제 개선안을 마련해 제재 실효성을 강화하겠다는 방침을 밝혔다.

전문가들은 “클라우드 및 IT플랫폼 시장 확대에 따라 개인정보 보호 수준 자체가 기업 경쟁력의 척도가 될 수 있다”며 “데이터 보호·관리의 투명성이 신뢰 회복과 산업 생태계 안착의 필요조건임을 이번 사태가 단적으로 보여준다”고 분석했다. 산업계는 이번 조치가 실효적 변화로 이어질지 평가하면서, 보다 선제적이고 체계적인 개인정보 보호 역량 구축에 나설 가능성도 있다.