[2023 국감] '워크넷 정보유출' 재발방지 촉구…고용정보원장 "보상 충실"

박종길 근로복지공단 이사장, 안종주 한국산업안전보건공단 이사장 등이 23일 국회 환경노동위원회 국정감사에서 답변을 준비하고 있다. [사진=연합뉴스]

23일 국회 환경노동위원회가 고용노동부 산하기관을 대상으로 진행한 국정감사에서는 구인·구직포털 워크넷 개인정보 유출사고에 대한 질타가 쏟아졌다. 김영중 한국고용정보원 원장은 재발 방지책을 마련하겠다고 밝혔다.

이날 국정감사에서는 박종길 근로복지공단 이사장, 안종주 한국산업안전보건공단 이사장 등이 참석한 가운데 고용부 간부들과 12개 산하기관장들을 대상으로 질의가 이뤄졌다.

7일간 몰라…결국 23만명 개인정보 샜다

여야는 정보를 제대로 관리하지 못한 고용정보원에 한목소리로 책임을 물었다. 노웅래 더불어민주당 의원은 "국민 2800만명 개인정보를 수집한 워크넷에서 유출 사고가 발생했다"고 목소리를 높였다. 박대수 국민의힘 의원도 "이번 사고 규모는 국민정보를 다루는 기관 중 최대"라고 지적했다.

워크넷은 고용부와 고용정보원이 운영하는 구인·구직사이트다. 지난 7월 발생한 사고로 가입자 23만명의 개인정보가 유출됐다. 이력서에 적힌 이름, 성별, 출생연도, 학력뿐만 아니라 증명사진, 외국어능력 등 정보까지 유출돼 피해가 컸다. 당시 고용정보원은 7월 5일 중국 등 외국에서 특정 IP를 통한 워크넷 무단 접속을 확인했다고 밝혔다.

그러나 6월 28일부터 무단 접속이 시도됐고, 고용정보원이 7일간 유출 사실을 인지하지 못했다는 게 노 의원 설명이다. 노 의원은 "(고용정보원은) 당시 사고에 대해 발표할 때 별도로 보안 인력이 배치돼 신속하게 대응하고 있다고 했다"며 "일주일 동안 모르지 않았다면 피해 규모를 줄일 수 있었을 것"이라고 비판했다.

고용정보원은 당시 해킹에 이용된 크레덴셜 스터핑(Credential Stuffing) 수법 파악이 어려웠다고 해명했다. 크레덴셜 스터핑은 워크넷 홈페이지 해킹이 아닌 다른 곳에서 수집한 사용자 아이디와 암호를 대입해 로그인을 시도하는 수법이다. 김 원장은 "개인정보 유출 피해와 관련, 사실관계 확인 후 충실하게 보상할 수 있도록 노력하겠다"고 밝혔다. 

사전 예방 미흡…"2차인증 도입으로 보완"

고용정보원의 유출사고 사전 예방 대책 마련이 미흡했다는 지적도 나왔다. 박 의원은 "크레덴셜 스터핑 수법이 알려진 것은 대략 3~6년 전인데 인지하지 못했다면 능력 문제"라며 "관련해 회의가 있었냐"고 물었다. 김 원장은 관련 회의는 없었다고 답했다.

이에 박 의원은 "국민들이 워크넷에 700만건에 달하는 개인정보를 맡긴 배경에는 신뢰가 있었다"며 "공공기관으로서 책무를 저버린 것"이라고 목소리를 높였다. 김 원장은 "보안관제 전문인력을 채용해 24시간 점검이 가능하도록 하고 워크넷 로그인 시 2차 인증이 필요하도록 보완하겠다"고 밝혔다.