Kant's IT/Issue on IT&Security
개인정보 유출 사고 및 배상 거부: 워크넷 사례
Kant Jo
2024. 9. 23. 22:40
'23만 정보유출' 보상 노력?…워크넷 "1인당 최대 20만원 배상 못해" - 머니투데이
'23만 정보유출' 보상 노력?…워크넷 "1인당 최대 20만원 배상 못해" - 머니투데이
개인정보 분쟁조정, 불성립 종결지난해 23만명 이상에 달하는 개인정보 유출사고를 빚은 공공 취업정보 서비스 워크넷(현 고용24) 운영기관이 개인정보 보호당국으로부터 제시받은 배상안을 거
news.mt.co.kr
- 사건 개요
- 2023년 워크넷(현 고용24) 에서 발생한 23만 명 이상의 개인정보 유출 사고
- 해커가 크리덴셜 스터핑 공격을 통해 개인정보를 탈취했으며, 유출된 정보에는 성명, 휴대전화번호, 이메일 외에도 학력, 운전능력 등의 중요 정보가 포함됨
- 유출 원인
- 해커가 다른 곳에서 입수한 아이디와 비밀번호로 초당 최대 166차례의 로그인 시도를 통해 유출
- 고용정보원은 네트워크 침입방지 장비를 갖추고도 탐지 및 차단에 실패
- 전산관리자가 차단 기능을 활성화하지 않은 탓에 피해 발생
- 배상안 및 거부
- 개인정보분쟁조정위원회는 유출된 개인정보에 따라 1인당 최대 20만 원의 손해배상을 제안
- 고용정보원은 배상안을 수락하지 않겠다는 의사를 밝히며 분쟁조정 불성립으로 종결
- 고용정보원 측은 관련 사례와 비교했을 때 다툴 여지가 있다며 거부 이유를 설명
- 법적 및 제도적 문제
- 개인정보보호법에 따라 개인정보를 처리하는 기업 및 기관은 유출 사고 발생 시 300만 원 이하의 배상을 청구할 수 있으며, 과실이 없음을 입증하지 못하면 배상책임을 면할 수 없음
- 고용정보원은 개인정보보호법상 안전조치 의무 위반으로 판단되었으며, 비정상적인 로그인 시도에 대한 적절한 대응을 하지 못한 것으로 드러남
- 향후 대응 및 비판
- 개인정보 유출 피해자들은 신속한 배상 및 재발 방지를 요구했으나, 법적 절차 대신 분쟁조정을 통한 해결 시도가 실패
- 평균 손해배상금 28만 원에 비해 적은 배상액임에도 불구하고, 고용정보원이 배상안을 거부함에 따라 비판의 목소리가 커지고 있음
- 시사점
- 개인정보 유출이 발생한 공공기관과 민간기업은 적극적인 보호 조치를 강화해야 하며, 법적 책임을 지는 방향으로 개선이 필요