식품산업협회 11만건 개인정보 유출…'평문 저장' 구시대적 보안이 화 불렀다

170개 회원사 연계 플랫폼서 비밀번호·연락처 무방비 노출

한국식품산업협회 산하 170개 회원사의 개인정보 11만건 이상이 외부로 유출되는 대형 침해사고가 발생했다. 비밀번호, 연락처, 이메일 주소 등 민감정보가 평문 또는 취약한 암호화 방식으로 저장되어 있었던 것으로 확인되면서, 업계 전반의 보안 인식 수준에 대한 우려가 커지고 있다.

---

사고 경위 및 피해 규모

이번 유출 사고는 한국식품산업협회가 운영하는 회원사 통합 플랫폼에서 발생했다. 해당 플랫폼은 협회와 170개 회원사 간 정보 공유 및 업무 처리를 위해 구축된 시스템으로, 회원사 임직원과 거래처 담당자 등 11만여 명의 개인정보가 저장되어 있었다.

보안 전문가들의 초기 분석에 따르면, 유출된 정보에는 성명, 연락처, 이메일 주소는 물론 로그인 비밀번호까지 포함된 것으로 파악된다. 특히 문제가 된 것은 비밀번호가 암호화 없이 평문(Plain Text) 상태로 저장되어 있었거나, MD5 등 이미 취약성이 알려진 구식 해시 알고리즘만 적용되어 있었다는 점이다.

취약점 분석: 무엇이 문제였나

이번 사고의 핵심 원인은 크게 세 가지로 압축된다.

첫째, 개인정보 암호화 의무 미준수다. 개인정보보호법 제29조와 동법 시행령은 비밀번호, 바이오정보 등 민감정보에 대해 안전한 암호화 알고리즘 적용을 의무화하고 있다. 그러나 해당 플랫폼은 이러한 법적 요건을 충족하지 못한 채 수년간 운영되어 온 것으로 보인다.

둘째, 통합 플랫폼의 접근통제 미흡이다. 협회-회원사 간 연계 시스템 특성상 다수의 접속 경로가 존재하지만, 이에 대한 체계적인 접근권한 관리가 이루어지지 않았다. 외부 공격자가 취약점을 통해 데이터베이스에 직접 접근할 수 있었던 것으로 추정된다.

셋째, 보안 점검 및 모니터링 부재다. 대규모 개인정보를 처리하는 시스템임에도 정기적인 취약점 진단이나 이상 접속 탐지 체계가 갖춰지지 않아, 유출 사실 인지까지 상당한 시간이 소요된 것으로 알려졌다.

기업·기관 대응 방안

이번 사고를 계기로 유사 플랫폼을 운영하는 협회 및 기업들은 다음 사항을 점검해야 한다.

• 비밀번호 저장 방식 전면 재검토: SHA-256 이상의 안전한 해시 알고리즘과 솔트(Salt) 적용 필수
• 개인정보 암호화 현황 점검: 고유식별정보, 민감정보에 대한 암호화 적용 여부 확인
• 접근통제 강화: 최소권한 원칙에 따른 계정 관리, 비정상 접근 실시간 탐지 체계 구축
• 연 1회 이상 취약점 진단: 외부 전문기관을 통한 모의해킹 및 보안 점검 실시

개인정보보호위원회는 해당 사고에 대해 조사에 착수한 것으로 알려졌으며, 안전조치 의무 위반이 확인될 경우 과징금 부과 등 행정처분이 예상된다.

---

📚 CPPG·ISMS-P 시험 연계 포인트

>

개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화)

>

개인정보처리자는 비밀번호를 저장하는 경우 일방향 암호화(해시함수)를 적용해야 하며, 고유식별정보·바이오정보 등은 양방향 암호화 알고리즘을 사용해야 한다. 특히 비밀번호는 복호화가 불가능한 형태로 저장해야 하며, MD5, SHA-1 등 취약한 알고리즘은 안전한 알고리즘으로 인정되지 않는다. 이는 ISMS-P 인증기준 2.7.1(암호정책 적용)과도 직결되는 핵심 통제 항목이다.

---

백남정 기자 namjung@privacynews.kr