'해킹 몰랐다' 고용정보원 워크넷 23만 명 개인정보 유출

[이코노믹데일리] 국회 환경노동위원회가 23일 서울 여의도 국회에서 한국고용정보원을 대상으로 국정감사를 진행했다.
 
지난 7월 고용노동부와 한국고용정보원이 운영하는 구인‧구직 사이트인 ‘워크넷’에서 회원 23만 명의 개인정보가 유출되는 사고가 발생했다. 이력서 정보가 유출되면서 이름, 성별, 출생연도, 주소, 휴대전화, 학력뿐만 아니라 증명사진, 직업훈련이력, 외국어능력, 차량소유여부 등의 정보까지 유출돼 피해가 컸다.
 
당시 고용정보원은 7월 5일 오전 8시 13분경 중국 등 외국에서 특정 IP를 통해 다수의 워크넷 무단 접속이 시도됐다고 밝혔다. 그러나 사실은 6월 28일을 시작으로 총 28개 IP에서 로그인이 시도됐고, 고용정보원은 정작 7일간 유출 사실을 인지하지 못했던 것으로 확인됐다.
 
또한, 고용정보원이 보안관제 용역을 맡긴 업체의 상주 인력은 평일 주간근무(9시 ~ 18시 )에 불과해 이번 사고에 신속하게 대응하기 어려웠던 것으로 파악됐다. 하지만 보안 관제 영역과 침해사고 대응 등에 대한 관리‧감독을 제대로 하지 못한 고용정보원의 책임은 피하기 어려워 보인다.
 
국정감사에 출석한 김영중 고용정보원장은 “개인정보 유출에 대해 다시 한 번 매우 송구스럽다는 말씀을 드린다”며 “피해에 최대한 충실한 보상이 이루어질 수 있도록 노력하겠다”고 밝혔다.
 
하지만 더불어민주당 노웅래 의원은 “실제 유출은 발표하기 일주일 전 6월 28일이었는데 정보 유출을 덮으려고 그런 것이냐”며 “해커 방지 예산을 20억 원씩 쓰면서 할 말이 있느냐”고 비판했다.
 
개인정보 유출 사고 관련 당시 조사에 따르면, 개인정보 유출은 워크넷 자체 해킹을 통한 것이 아닌 다른 곳에서 수집한 사용자의 아이디와 암호를 대입해 로그인을 시도하는 이른바 ‘크리덴셜 스터핑(Credential Stuffing)’ 수법이 사용된 것으로 추정됐다.
 
한편 김 원장은 “워크넷을 비롯해 현재 저희가 운영 중인 개인정보 처리 대민 전산망에 2차 인증을 모두 도입했고, 신속한 공격 탐지와 차단을 위해 지능형 관제시스템을 구축하고 있다”며 “24시간 보안관제가 가능하도록 내년도 예산안에 반영했으니 경영 최우선 과제로 잘 챙겨서 앞으로 이와 유사한 사고가 발생하지 않도록 최선의 노력을 다하겠다”고 설명했다.