충북 음성 한국고용정보원./사진=뉴시스
22일 관계부처 등에 따르면 개인정보분쟁조정위원회는 워크넷 이용자 21명이 워크넷 운영기관 한국고용정보원을 상대로 낸 분쟁조정 신청을 최근 '조정 불성립'으로 종결했다. 고용정보원이 지난 4월 분쟁조정안을 수락하지 않겠다는 의사를 밝힌 데 따른 결과다.
지난해 6~7월 워크넷에선 해킹으로 23만6000여명의 개인정보가 빠져나갔다. 해커는 해외IP(인터넷주소) 28개를 동원해 다른 곳에서 입수한 아이디·비밀번호 수십 만건을 워크넷 로그인 화면에 초당 최대 166차례(평균 73차례) 입력하는 '크리덴셜 스터핑' 공격을 가한 것으로 드러났다.
크리덴셜 스터핑은 특정 IP의 로그인 시도·실패 횟수가 급증하는 현상을 수반한다. 고용정보원은 이를 탐지·차단할 네트워크 침입방지 장비를 갖추고도 피해를 막지 못한 것으로 드러났다. 전산관리자가 차단 기능을 미리 활성화하지 않은 탓이다.
분쟁조정 절차에서 고용정보원은 워크넷에 대해 "동시다발적 접속이 일어나는 대국민 서비스로, 예전에도 정상 로그인이 초당 60~70차례 이뤄진 적이 있다"며 "(당시 공격을) 비정상적인 접근시도로 보기 어려웠다"고 항변했다. 그러나 분쟁조정위는 "단시간에 대량 발생한 로그인 실패는 충분히 의심할 수 있었다"며 고용정보원이 개인정보보호법상 안전조치 의무를 위반했다고 판단했다.
이 시각 인기 뉴스
분쟁조정위는 또 "평소 로그인 시도에 대한 분석자료가 (고용정보원에) 없는 상황"이었다며 "사고 당시 수준의 로그인 시도는 비정상적인 접근으로 간주하고 대응했어야 할 사안"이라고 지적했다. 법령에 따르면 개인정보를 처리하는 기업·기관은 유출시도에 대응하기 위해 접속자 IP 등을 분석할 책임이 있다.
지난해 전체 개인정보 분쟁조정에서 책정된 평균 손해배상금은 28만원이다. 고용정보원은 분쟁조정위가 평균을 밑도는 배상을 주문했는데도 분쟁조정안을 거부한 셈이다. 김영준 전 한국고용정보원장은 지난해 10월 재직 당시 진행된 국정감사에서 "개인정보 유출에 대해 매우 송구스럽다"며 "최대한 충실한 보상이 이뤄질 수 있도록 노력하겠다"고 말했다.
개인정보 분쟁조정은 개인정보 유출 등 피해에 대한 손해배상·재발방지 등을 요구해 법원 소송보다 신속하게 조정안을 받을 수 있는 절차다. 당사자 모두가 조정안을 수락하면 확정판결과 효력이 같은 '재판상 화해'가 성립하지만, 한쪽이라도 불수락 의사를 밝힐 경우 분쟁조정 절차는 '조정 불성립'으로 종결된다.
현행 개인정보보호법은 개인정보 유출·위조 등이 발생한 경우 피해자가 최대 300만원의 손해배상을 청구할 수 있도록 규정돼 있다. 개인정보를 처리하는 기업·기관은 과실·고의가 없었음을 입증하지 못하면 배상책임을 벗어날 수 없다.
한편 고용정보원은 "분쟁조정안이 관련 사례와 비교했을 때 다퉈 볼 여지가 있어 수락하지 않았다"고 밝혔다.