42일 동안 ‘몰랐다’

국가사이버보안센터로부터 ‘해킹 의심’ 연락받고서야 상황 파악

현재 확인된 개인정보유출 1건...개보위, “유출 규모 달라질 수 있다”

권향엽 의원, “다른 이용자에게도 통지해 잠재적 피해 예방해야”

더불어민주당 권향엽 국회의원(순천광양곡성구례을·산업통상자원중소벤처기업위원회)은 산업통상자원부가 공모전 홈페이지 해킹 사실을 42일이 지나서야 뒤늦게 알게 됐다고 22일 밝혔다. 현재까지 파악된 개인정보 유출 규모는 1건에 불과하지만, 개인정보보호위원회는 “최종 조사 결과에 따라 유출 규모가 달라질 수 있다”고 답변했다. 해당 홈페이지 올해 이용자 수는 11만 6,330명이며 공모전 접수자 수는 282명이다.

산업부는 매년 <공공데이터 활용 아이디어 공모전>을 개최하고 있다. 올해 공모전 접수 기간은 4월 14일부터 7월 14일까지였다. 개인정보 유출 피해자는 4월 14일 21시 10분경 공모전 사이트에 기획서를 제출했고, 다음날인 4월 15일 14시 12분에 성명, 소속, 휴대전화 번호, 이메일 주소, 공모전 기획서 파일명이 유출됐다.

산업부는 5월 27일에 이르러서야 해킹 사실을 알게 됐다. 27일 16시 20분경 국가사이버보안센터(NCSC)가 산업부에 ‘공모전 홈페이지 서버에 외부 해킹 의심 정황이 포착됐다’고 연락했고, 산업부는 해당 홈페이지 접속을 긴급 차단했다. 이어 공모전 홈페이지 위탁관리업체가 한국인터넷진흥원(KISA)에 이 사실을 신고했다.

개인정보 유출이 확인된 시점은 5월 29일 오전 10시 20분경이다. 산업부는 유출 규모를 1건으로 특정하고 다음 날인 30일 15시 25분경 피해자(정보주체)에게 이메일을 보내 유출 사실을 알렸다. 같은 날 산업부는 개보위에도 개인정보 유출 사실을 신고했다.

권향엽 의원은 “서버가 해킹당하고 개인정보가 유출됐는데도 산업부는 42일 동안 아무것도 모르고 있었다”고 질타하며 “대규모 해킹 피해가 연달아 발생하고 있는 만큼, 정부와 공공기관에서 운영하는 홈페이지 전반에 대한 보안 강화 조치가 시급하다”고 말했다.

이어 “현행 <개인정보보호법> 제34조 및 시행령 제39조는 개인정보가 유출된 정보주체에만 유출 사실을 통지하게 돼있어, 6개월이 지난 지금까지도 다른 이용자는 피해 가능성을 인지하지 못하고 있다”며 “개인정보 유출은 사건조사에 상당한 시간이 소요되기 때문에 홈페이지 이용자 전체에게 잠재적 피해 가능성을 통지하고 2차 피해를 스스로 예방할 수 있도록 법을 개정할 필요가 있다”고 덧붙였다. /끝/

[첨부1] 사건 주요 일지

[첨부2] 개인정보보호위원회 답변