인크루트 "이용자별 유출항목 차이…전체규모 확인 중"

취업정보 기업 인크루트의 웹사이트 첫 화면./사진=성시호 기자 shsung@

취업정보 기업 인크루트에서 발생한 개인정보 유출사고의 이용자 피해범위에 성명·생년월일·성별·연락처 이외에 학력·경력 등 각종 이력정보가 포함된 것으로 확인됐다.

17일 업계에 따르면 인크루트는 지난 15일 개인정보 유출사고에 따른 사과문을 게시하고 같은 날 유출 대상자·정보 확인서비스를 제공하기 시작했다. 앞서 9일 회원들에게는 개인정보 유출 의심에 따른 안내문을 이메일로 발송했다.

인크루트는 사과문에서 '성명·성별·휴대전화번호 등'의 유출을 확인했다며 서비스에 입력한 정보가 이용자별로 달라 유출 여부·항목은 확인서비스에서 개별적으로 열람할 수 있다고 설명했다.

일부 이용자들이 머니투데이에 보낸 확인서비스 조회내역에 따르면 이들은 당초 공지받은 3개 정보에 더해 학력·경력·자기소개·자격증·교육이력·수상내역 등 이력정보까지 유출됐다.

인크루트 관계자는 "이용자가 입력한 선택 입력사항을 데이터베이스(DB)에 보관하던 도중 해킹 공격으로 일부 유출이 발생했다"며 "모든 이용자의 정보가 유출된 것은 아니다"라고 말했다. 그러면서 "유출항목은 피해 이용자마다 차이가 있다. 전체 유출규모는 현재 확인 중"이라고 했다.

인크루트가 밝힌 유출경위는 외부 해커의 공격이며, 개인정보 유출시기는 올해 1월19일부터 2월4일까지다. 사고 신고는 지난 7일 한국인터넷진흥원(KISA)에 했다.

유출시기와 신고시점에 한 달 정도 시차가 발생한 이유에 대해 인크루트 관계자는 "(사고를) 인지한 시점이 이달 초였다"고 말했다.

개인정보보호위원회는 유출신고에 따라 사실관계를 확인한 뒤 조사에 착수할 계획이다. 조사진은 인크루트의 개인정보 유출 규모·경위와 주요 과징금 부과사유인 법령상 안전조치 의무 준수 여부 등을 가리게 된다.

인크루트는 "사고로 심려를 끼친 점 깊이 사과드린다"며 "유출 의심정황 발견 즉시 관련 IP 차단, 시스템 취약점 점검·보완, 시스템 감시 강화 조치를 완료했다"고 밝혔다.

이어 "피싱·스미싱·악성코드 등 2차피해 우려가 있으니 출처가 불분명한 전화·메시지·이메일 등에 주의하라"면서 "당사는 개인정보와 관련해 전화·이메일로 정보를 요구하지 않는다"고 했다. 아울러 "개인정보 유출 등으로 손해가 발생했다면 개인정보분쟁조정위원회에 분쟁조정을 신청할 수 있다"고 했다.

인크루트는 과거 개인정보 유출사고를 낸 기업이 개정 개인정보보호법 시행(2023년 9월) 이후 또다시 사고를 낸 사례로 주목받는다.

개인정보보호법 위반에 따른 과징금 상한선은 '위반행위 관련 매출액의 3%'였다가 법 개정 이후 '전체 매출액의 3%'로 대폭 상향됐다.

인크루트는 2020년 9월 해커가 무더기 로그인을 시도하는 '크리덴셜 스터핑' 공격으로 회원 개인정보 3만5076건이 유출되는 사고가 발생, 2023년 7월 과징금 7060만원과 과태료 360만원을 부과받은 이력이 있다.

당시 개인정보위는 인크루트가 대규모 비정상 로그인 시도 탐지·차단 장치를 미리 마련하지 않는 등 안전조치 의무를 소홀히 했다고 지적했다. 인크루트는 불복소송을 제기, 오는 28일 1심 선고를 앞뒀다.

취업정보 기업 인크루트 웹사이트에서 이용자가 개인정보 유출 대상·항목을 조회한 화면./사진=독자제공

성시호 기자 shsung@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지