국립항공박물관이 관리자 계정을 허술하게 운영한 탓에 관람객 개인정보가 대량 유출돼 개인정보보호위원회로부터 과징금 처분을 받게 됐다. 개인정보위는 10일 전체회의에서 과징금 9천8백만 원 부과와 함께 1년간 처분 내용을 홈페이지에 공표하기로 의결했다고 11일 밝혔다.

조사에 따르면 해커는 알 수 없는 방식으로 박물관의 관리자 계정을 탈취한 뒤 관리자 페이지에 접속해 회원 1만1천29명의 개인정보를 내려받았다. 이 정보에는 이름, 아이디, 성별, 생년월일, 주소, 연락처 등이 포함됐으며, 일부 이용자에게는 악성 앱 설치를 유도하는 스미싱 문자까지 발송된 것으로 확인됐다.

개인정보위는 박물관이 기본적인 보안 조치를 소홀히 했다고 지적했다. 관리자 계정이 단 3개뿐이었음에도 20여 명의 직원과 외부 수탁업체 직원들이 이를 공동으로 사용했고, 외부 접속이 가능한 상태였음에도 IP 제한을 설정하지 않았다. 또한 공인인증서 등 안전한 인증수단 없이 아이디와 비밀번호만으로 관리자 로그인이 가능하도록 했으며, 접속기록 점검도 제대로 이뤄지지 않았다.

개인정보위는 이러한 관리 부실이 개인정보보호법 제29조가 규정한 안전성 확보조치를 위반한 것이라고 판단해 과징금 부과와 보안 체계 개선 등 시정조치를 함께 명령했다.

개인정보위 관계자는 “관리자 계정은 대량의 개인정보로 연결되는 가장 민감한 열쇠”라며 “공공기관과 민간 사업자 모두 계정 관리·로그 기록 점검·접속 제한 등 기술적 보호조치를 철저히 해야 한다”고 강조했다.