정부가 구직 플랫폼 인크루트의 개인정보 유출 사고에 대해 4억6300만원의 과징금을 부과했다.

개인정보보호위원회는 22일 전체회의에서 인크루트에 대한 제재를 의결하고, 전문 최고개인정보보호책임자(CPO) 신규 지정과 재발방지 계획 제출 등을 명령했다고 23일 밝혔다.

인크루트는 올해 1~2월 사이 해킹 공격으로 전체 회원 약 728만 명의 개인정보가 유출됐다. 해커는 인크루트 직원의 업무용 PC를 악성코드에 감염시킨 뒤 데이터베이스(DB) 접속 계정을 탈취해 내부 시스템에 침투했다. 이후 한 달여 동안 이름, 성별, 휴대전화번호, 학력, 경력, 장애·병역사항, 자격증 사본 등 총 18개 항목의 개인정보와 이력서·자기소개서 등 개인 저장 파일 5만4475건(총 438GB)을 빼냈다.

조사 결과, 업무시간 외 비정상적인 DB 접속과 대용량 트래픽이 발생했음에도 인크루트는 이를 인지하지 못했다. 해커의 협박 메일을 받은 뒤 두 달이 지나서야 유출 사실을 확인했다. 또한 개인정보취급자의 컴퓨터에 대한 인터넷망 차단 조치도 이행하지 않았다.

개인정보위는 "인크루트가 2023년 7월에도 3만5000여 건의 개인정보 유출로 제재를 받은 바 있음에도 같은 유형의 사고를 반복했다"며 "안전조치 의무를 상습적으로 위반한 것으로 보고 과징금 4억6300만원을 부과했다"고 밝혔다.

인크루트는 자사 홈페이지에 처분 사실을 공표하고, 피해 회복 지원 방안을 포함한 구체적인 재발방지 계획을 60일 이내에 보고해야 한다.