약학정보원 유상준 원장이 홈페이지 Q&A 게시판을 통한 개인정보 유출 사고와 관련해 23일 전문언론 간담회를 열고, 경과 및 대응 조치에 대해 직접 설명했다.

이번 사고는 약정원 홈페이지 Q&A 게시판에 등록된 게시물을 통해 회원 개인정보 7669건이 외부에 노출된 상태로, 약 1년 가까이 발견되지 않았던 사례다. 약정원 측은 지난달 30일 제보를 통해 이 사실을 처음 인지하고, 게시물을 삭제한 뒤 관계 기관에 신고했다.

유상준 원장은 “문제의 게시물은 지난해 5월경 개인정보가 노출된 것으로 추정된다”며 “유출 사실은 올해 5월 30일 제보를 통해 처음 인지했다”고 밝혔다. 해당 게시물은 외부인이 작성한 Q&A 글로, 지난해 4월 25일 등록됐으며 개인정보가 포함된 상태로 같은 해 5월경부터 외부에 노출된 것으로 약학정보원은 보고 있다.

사고 인지 직후 약정원은 게시물을 삭제하고, 대책회의를 거쳐 개인정보보호위원회와 경찰에 신고했다. 유 원장은 “제보 직후 15분 만에 게시물을 삭제했고, 현재는 해당 게시판을 폐쇄한 상태”라며 “유출 피해 대상자에게는 개별 통지를 완료했다”고 설명했다.

그러나 유출 게시물이 웹상에서 1년 가까이 노출된 채로 방치됐고, 기관 내부에서는 이를 전혀 인지하지 못했다는 점에서 약정원의 관리체계 허점이 드러났다는 지적도 나온다.

유 원장은 “문제가 된 게시판은 외부인이 쉽게 접근할 수 있는 일반적인 웹 노출 구조는 아니었다”며 사고 인지가 지연된 배경을 설명하고 “당시에는 게시물 등록 시 개인정보 포함 여부를 자동으로 감지하거나 경고해주는 시스템이 마련돼 있지 않았다”고 내부 감지 체계가 부재했던 점을 덧붙였다. 약정원은 현재 해당 게시판을 폐쇄하고, 외부 접근 차단 및 관련 보안 시스템 개선 작업을 진행 중이라고 밝혔다.

현재 약정원은 △DB 접근 권한 재설정 △보안 솔루션 도입 △검색 엔진 노출 정보 삭제 요청 △전 직원 대상 교육 실시 등 후속 조치를 추진 중이다. 유 원장은 “예산 범위 내에서 보안 제품을 선정하고 있으며, 개인정보 보호 체계를 전면 재점검하고 있다”고 전했다.

이 사건은 서울 서초경찰서를 통해 수사가 진행 중이며, 개인정보보호위원회 역시 향후 심의 결과에 따라 실사 또는 보완 요구 여부를 결정할 예정이다. 약정원은 관련 로그 자료 제공 등 관계기관과의 협조를 이어가고 있다.

유상준 원장은 “이번 사고로 심려를 끼쳐드려 깊이 사과드린다”며 “개인정보 보호에 대한 책임을 무겁게 인식하고, 재발 방지에 만전을 기하겠다”고 말했다.