개인정보 유출 KS한국고용정보 35억 과징금 부과

< ㈜케이에스한국고용정보: 과징금 35억 3,700만 원과 과태료 420만 원 부과 및 시정명령, 공표명령 >

 

2026. 4. 23

 

신원 미상의 자(이하 ‘해커’)가 ㈜케이에스한국고용정보(이하 ‘KS한국고용’)의 개인정보처리시스템 관리자 계정정보를 획득한 후 ’25. 4. 15. 관리자 페이지에 접속하여, 상담사, 본사직원 및 입사지원자(교육생) 등 40,875명의 개인정보*를 내려받아 유출하였다.

 

* 이름, 주민등록번호, 휴대전화번호, 주소, 이메일, 계좌번호 등

 

 

이어서, 해커는 웹페이지의 취약점*을 이용해 서버 내 각종 인사서류 파일 약 5만 건을 내려받아 유출하였다. 해당 서류는 KS한국고용의 상담사‧직원 등이 입사·재직중 제출한 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등으로 본인의 정보뿐만 아니라 가족의 개인정보가 다수 포함되어 있었다. 이후 해커는 유출 정보를 다크웹에 게시하고 보유한 데이터베이스에 대한 거래를 시도한 것으로 확인되었다.

 

* 파일 다운로드 시 파일의 경로 및 파일명을 파라미터로 받아 처리하면서 입력값에 대한 검증을 하지 않아, 공격자가 값을 조작하여 파일을 다운로드할 수 있는 취약점

 

 

조사 결과, KS한국고용은 해당 처리시스템으로 일반 인사관리 기능과 콜센터 운영 관련 기능을 함께 운영하면서 접속 권한을 아이피(IP) 등으로 제한하지 않았고, 안전한 접속수단 또는 인증수단을 적용하지 않아 아이디·비밀번호 만으로 외부에서 제한 없이 접속이 가능했던 사실이 확인되었다. 이 외에도, 인사증빙 서류 내 주민등록번호를 마스킹 또는 암호화 조치 없이 저장하는 등 안전조치 의무를 다수 위반하였다.

 

또한, 입사지원자가 최종 합격하여 직원이 되기 전까지는 주민등록번호를 처리할 수 없음에도 법적 처리 근거 없이 일부 입사지원자의 주민등록번호를 수집·처리하였다. 또한, 보유기간이 경과한 퇴사자 및 교육생 2,035명의 개인정보를 파기하지 않은 사실도 확인하였다.

 

이에 따라 개인정보위는 KS한국고용에 과징금 35억 3,700만 원, 과태료 420만 원을 부과하고, 개인정보처리시스템에 대한 접속기록 및 개인정보 다운로드 상황 주기적 점검, 개인정보 파기에 관한 지침을 수립·운영할 것을 명령하는 한편, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령하였다.

 

※ 위반행위가 발생한 시스템은 상담사 정보와 고객정보, 상담과정의 민원정보 등을 결합하여 저장‧관리하고 있고, 상기 시스템이 상담용역 서비스 제공에 직·간접적으로 이용되고 있어 상담용역 매출액 기준으로 과징금 산정