안녕 Owen 이다.
어이, 김 대리! 자네 지금 점심시간에 뭐 보고 있어? 취업 정보? (하아...) 안 그래도 속 터지는 기사가 하나 더 터졌네. 인크루트라고 알아? 취업 포털 사이트 말이야.
개인정보보호위원회(개인정보위)가 이 인크루트라는 회사에 4억 6천만 원이 넘는 과징금을 때렸대! 왜? 취준생 730만 명의 이력서, 자기소개서, 자격증 사본까지 통째로 털렸으니까!
내가 평소에 '보안 기본'이 중요하다고 그렇게 목에 핏대 세웠는데, 이 회사는 아예 2023년에도 유출 사고가 있었는데 또다시 대형 사고를 쳤어. 이 정도면 '보안 불감증'이 아니라 '심각한 관리 소홀' 수준이라는 지적을 피할 수 없어!
자네 같은 젊은 친구들 인생이 걸린 이력서가 해커 손에 놀아났는데, 이게 그냥 넘길 일이 아니지. 법적 문제 안 생기게 팩트만 가지고, 이 사건의 심각한 기강 해이를 짚어줄 테니 정신 차리고 들어!
이번 인크루트 사태를 보면, 내가 왜 '기본'을 강조하는지 알게 될 거야. 가장 중요한 부분 세 가지를 짚어보자고!
대용량 트래픽, DB 비정상 접속? '경보 무시'가 부른 대참사!
개인정보위 조사 결과를 봐. 해커가 업무시간 외에 비정상적으로 데이터베이스에 접속했고, 내부 자료를 외부로 빼돌리면서 대용량 트래픽이 발생했대. 이건 말이야, 회사 현관문에 '도둑 들어왔으니 문 열고 나가라'고 빨간 불이 깜빡인 거나 마찬가지잖아! 근데 인크루트는 이걸 약 두 달 동안이나 방치했대! 해커의 협박 메일을 받고서야 인지했다니, 이게 말이 돼? 옛날에는 말이야, 서버에서 비정상적인 로그만 찍혀도 밤새도록 IT 팀원들이 달라붙어서 원인 찾았어! '이상 징후'가 보이면 무조건 확인하는 게 보안의 첫 번째 책임이야! 그걸 두 달 동안이나 몰랐다니, 이건 이상 행위 대응에 현저히 소홀했다는 개인정보위의 지적과 정확히 일치하는 거지!
'망 분리' 미적용? "민감 정보 PC를 왜 인터넷에 연결해 둬!"
민감 정보를 포함한 다량의 개인정보를 다루는 취급자 PC를 인터넷망에서 차단(망 분리)하지 않은 사실도 확인됐대. 취업 포털의 이력서와 자격증 사본에는 학력, 경력, 심지어 장애/병역 사항 같은 민감 정보가 얼마나 집약되어 있겠어? 이 국보급 기밀을 다루는 PC에 인터넷망 차단조치를 하지 않은 거야. 민감 정보 취급자의 PC 관리가 미흡했다는 사실이 확인된 거지. '안전조치 의무 소홀' 지적이 나오는 것은 당연하다! 망 분리가 하루 이틀 된 규정도 아닌데, 그걸 소홀히 했다니... 이는 규정 위반이자, 데이터 관리의 기본 원칙이 훼손된 것으로 볼 수 있지! 해커가 직원 PC에 악성코드 심고 계정 훔쳐서 DB에 침투하는 가장 고전적인 수법에 당한 거잖아!
'반복 위반'에 대한 엄중 처분: 솜방망이론은 이제 그만!
인크루트는 2023년에도 유출 사고로 과징금을 맞았었대. 3년도 안 돼서 또다시 대규모 사고를 친 거야. 개인정보위가 이번에 4억 6300만 원 과징금을 부과하고, 전문 CPO(최고개인정보보호책임자)를 새로 지정하고, 홈페이지에 처분 사실까지 공표하라고 명령한 것은 잘한 조치야. (물론 피해 규모에 비하면 적다는 생각이 들지만...) 개인정보위도 "반복적 위반 기업에 대해 징벌적 효과를 갖는 과징금 제도 개선안을 마련 중"이라고 했어. 더 이상 '솜방망이 처벌'로 얼버무릴 수 없다는 경고 아니겠어?
자, 김 대리. 인크루트 사태의 교훈은 명확해.
IT 인프라가 아무리 복잡해도, '이상 징후' 감지와 '망 분리' 같은 기본적인 안전 조치를 무시하면 회사는 무너진다는 거야! 특히 취업 포털은 취준생들의 꿈과 민감 정보를 볼모로 장사하는 곳이야. 그 책임감을 절대 잊어선 안 되지.
과징금 4.6억보다 더 무서운 건, 수많은 취준생이 인크루트를 더 이상 믿지 않게 된다는 거야! 개인정보 보호에 현저히 소홀한 기업이라는 평가를 피할 수 없음을 의미하지! 자네도 이력서 쓸 때, 내 정보가 얼마나 소중한지 잊지 마. 그리고 회사에서는 이상 징후가 발생하면 무조건 야근해서라도 확인해! 안전조치 의무를 소홀히 하는 건 곧 회사와 고객의 신뢰를 무너뜨리는 일이라는 걸 명심해! 얼른 업무 봐!
'Owen의 (보)일듯(안)보일듯' 카테고리의 다른 글
| [(보)일듯(안)보일듯#8] "3일 협상 시한!" KT알티미디어 랜섬웨어 피격, 한번 더 강조하는 '직원 계정 관리'의 중요성 (0) | 2025.10.31 |
|---|---|
| [(보)일듯(안)보일듯#7]기업 서버 관리자 필독! MS 윈도우 WSUS 치명적 취약점, '패치 안일함'은 용납 못한다! (0) | 2025.10.27 |
| [(보)일듯(안)보일듯#5] 분통 터지지만 꾹 참는다! LG 유플러스 보안 사고, '증거 훼손 의혹'의 심각성을 짚어본다! (1) | 2025.10.21 |
| [(보)일듯(안)보일듯#4]'일침 주의보': "허니팟이 독이 됐다고? 기본도 모르는 요즘 보안의 민낯!" (0) | 2025.10.20 |
| [(보)일듯(안)보일듯#3]"어이, 김 대리! 윈도우10 이제 끝이다! 당장 PC부터 엎어!" (0) | 2025.10.14 |
