인크루트, 또다시 개인정보 유출 의혹…개인정보위 조사 착수

[이코노믹데일리] HR테크 기업 인크루트에서 또다시 개인정보 유출 의혹이 불거지며 개인정보보호위원회(개인정보위)가 조사에 착수했다.

10일 정부 당국에 따르면 개인정보위는 인크루트로부터 개인정보 유출 신고를 접수받고 현재 사실 관계를 확인한 뒤 본격적인 조사에 돌입할 계획이라고 밝혔다. 개인정보위는 이번 사고와 관련해 정보 유출 규모와 구체적인 경위, 인크루트의 개인정보보호법 준수 여부 등을 면밀히 조사할 방침이다.

인크루트는 전날 오전 회원들에게 ‘개인정보 유출 의심에 따른 안내 및 사과 말씀’이라는 제목의 이메일을 발송하여 개인정보 유출 의혹을 공식화했다. 인크루트는 이메일에서 “외부 공격에 의해 일부 고객 정보가 유출된 것으로 의심할 만한 정황이 확인되었다”고 밝히며 회원들에게 사과의 뜻을 전했다.

인크루트 측은 유출이 의심되는 개인정보 항목으로 성명, 생년월일, 성별, 휴대전화 번호 등을 언급했다. 다만 “개인별로 유출된 정보의 항목에는 차이가 있을 수 있다”고 덧붙여 정확한 유출 범위는 아직 조사 중임을 시사했다.

사고 발생 후 인크루트는 즉시 관련 IP 차단, 시스템 취약점 점검 및 보완, 시스템 모니터링 강화 등 긴급 조치를 취했다고 밝혔다. 또한 “고객님의 개인정보 보호 및 보안 강화를 최우선 과제로 삼고 안전한 서비스 제공을 위해 최선을 다하겠다”고 강조했다.

한편 인크루트는 불과 1년 전인 2023년에도 회원 개인정보 3만5076건을 유출한 사실이 드러나 개인정보위로부터 과징금 7060만원과 과태료 360만원을 부과받은 바 있다. 당시 개인정보위 조사 결과 인크루트는 2020년 9월 해커의 ‘크리덴셜 스터핑’ 공격을 받았음에도 불구하고 대규모 무작위 로그인 시도를 차단하기 위한 침입 탐지 및 차단 정책을 제대로 실행하지 않은 것으로 밝혀졌다. 

크리덴셜 스터핑이란 탈취한 아이디와 비밀번호를 무작위로 대입하여 계정을 탈취하는 공격 방식이다. 뿐만 아니라 인크루트는 휴면 계정 해제 시 추가 인증 절차 없이 아이디와 비밀번호만으로 해제가 가능하도록 설정하는 등 접근 통제 조치 역시 소홀히 한 것으로 드러났다.

잇따른 개인정보 유출 사고로 인해 인크루트의 정보보안 시스템에 대한 신뢰도 하락은 불가피할 것으로 보인다. 개인정보위의 이번 조사가 인크루트의 재발 방지 대책 마련 및 정보보호 시스템 강화에 어떠한 영향을 미칠지 주목된다.