730만명 정보 유출 인크루트 "책임 통감·보안조직 개편"

과징금 4억6300만원 처분…2년 만에 또 유출

김우람 기자 | kwr@newsprime.co.kr | 2025.10.23 17:02:38

[프라임경제] 인크루트가 730만명에 달하는 구직자의 개인정보를 유출하고도 두 달 넘게 이를 인지하지 못한 사실이 드러났다. 개인정보보호위원회는 사고 발생에 따른 책임을 물어 인크루트에 4억6300만원의 과징금을 부과하고, 재발 방지 대책 마련과 피해자 지원 조치를 명령했다.

인크루트는 "앞으로 고객의 개인정보 보호를 위해 최선을 다하겠다"고 전했다. ⓒ 인크루트

23일 개인정보보호위원회에 따르면 해커는 지난 1월 인크루트 직원의 업무용 컴퓨터에 악성코드를 심고, 확보한 데이터베이스 접속 계정으로 내부 시스템에 침입했다. 이후 약 한 달 동안 회원 727만5843명의 △이름 △연락처 △학력 △경력 △사진 △이력서 △자기소개서 △자격증 사본 등 총 438GB에 달하는 개인 저장 파일 5만4475건을 탈취한 것으로 조사됐다.

문제는 인크루트의 대응 태도였다. 업무시간 외 비정상적인 DB 접속 기록과 대용량 트래픽이 발생했음에도 별다른 조치를 하지 않았다. 두 달이 지난 뒤 해커의 협박 메일을 받고서야 유출 사실을 인지했다. 특히 민감정보를 포함한 대량의 개인정보를 저장한 컴퓨터가 인터넷망과 분리되지 않은 상태로 운영돼 보안 기본 수칙조차 지켜지지 않은 것으로 확인됐다.

이에 대해 인크루트 관계자는 "이번 사태를 엄중히 받아들인다"라며 "앞으로 고객의 개인정보 보호를 위해 최선을 다하겠다"고 전했다.

이어 "사고 직후 전사 정보보호 관리체계와 정책을 전면 재정비하겠다"라며 "CEO 직속의 정보보호조직을 확대·강화했다"고 밝혔다.

또 "보안 및 내부 시스템 운영 정책을 전반적으로 강화해 보안 수준을 높이고 있다"라며 "서비스, 서버·네트워크, 임직원 PC 관리 기준을 상향 조정하고 임직원 보안 인식 제고에도 힘쓰고 있다"고 설명했다.

한편 인크루트는 2023년에도 유사한 사고로 3만5000건이 넘는 개인정보가 유출돼 과징금 7060만원과 과태료 360만원을 부과받은 바 있다. 개인정보위는 3년 이내 동일한 사업자에게서 유출 사고가 반복된 점을 들어, 현행 법령상 가장 엄격한 수준에서 과징금을 산정했다고 밝혔다.

이번 조치에 따라 인크루트는 전문 개인정보 보호 책임자를 새로 지정하고, 그 역할과 책임을 명확히 해야 한다. 아울러 정보주체 피해 회복을 위한 구체적인 재발 방지 계획을 수립해 60일 이내에 개인정보위에 제출해야 하며, 자사 홈페이지에 과징금 처분 사실을 공표해야 한다.

개인정보위는 "다수의 구직자 정보가 포함된 민감한 데이터가 유출된 데다, 사고 이후 대응이 미흡했다"라며 "과거에도 동일한 문제가 있었던 점을 매우 중대하게 판단했다"고 전했다.

그러면서 "개인정보 보호에 현저히 소홀한 기업에 대해서는 징벌적 과징금 제도 개선을 통해 제재의 실효성을 높일 것"이라고 덧붙였다.