한국식품산업협회 회원사 170곳 개인정보 11만건 유출... 비밀번호·연락처 노출

핵심 요약

- 한국식품산업협회 산하 170개 회원사의 개인정보 11만건 이상 유출 정황 발견 - 비밀번호, 연락처 등 민감정보 포함으로 2차 피해(피싱, 스미싱 등) 우려 증폭 - 협회·회원사 간 정보 공유 시스템의 보안 취약점이 유출 원인으로 추정

주요 내용

2026년 6월, 한국식품산업협회와 그 산하 170개 회원사의 개인정보 11만건 이상이 유출된 정황이 확인됐다. 유출된 정보에는 회원사 임직원 및 고객의 비밀번호, 연락처, 이메일 주소 등이 포함된 것으로 파악되며, 특히 평문 또는 취약한 암호화 방식으로 저장된 비밀번호가 다량 노출된 것으로 알려져 심각성이 더욱 커지고 있다.

이번 사고는 협회와 회원사 간 정보 공유를 위한 통합 플랫폼의 보안 취약점이 원인으로 지목되고 있다. 협회 측은 외부 침입 흔적을 조사 중이라고 밝혔으나, 접근권한 관리 미흡, 로그 모니터링 부재, 취약점 점검 주기 지연 등 복합적인 보안 관리 소홀이 복합적으로 작용한 것으로 보인다. 특히 식품산업 특성상 유통·제조·판매 전 과정에서 다수의 개인정보를 취급하는 만큼, 이번 유출 사고는 식품업계 전반의 정보보호 체계 점검 필요성을 시사한다.

유출된 개인정보에 비밀번호가 포함된 점은 2차 피해 가능성을 크게 높인다. 동일 비밀번호를 여러 서비스에서 재사용하는 사용자가 많은 현실을 고려할 때, 타 사이트 계정 탈취(Credential Stuffing) 공격, 피싱 메시지를 통한 금융사기 등으로 이어질 위험이 크다. 협회는 즉각 유출 대상자에게 통지하고 비밀번호 변경, 이상 거래 모니터링 등을 안내해야 하며, 개인정보보호위원회에 신고 및 피해 최소화 조치를 신속히 이행해야 한다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이번 사고는 제3자 정보 공유 시스템에 대한 통제 실패와 비밀번호 암호화 미흡이라는 두 가지 근본 원인이 결합된 전형적인 사례다. 협회와 회원사 간 정보 연계 시스템은 다수 조직이 접근하는 구조적 특성상 접근권한 최소화 원칙, 암호화 전송, 주기적 취약점 점검이 필수인데, 이 중 하나라도 누락되면 대규모 유출로 직결된다. 특히 비밀번호를 평문 또는 단방향 해시 없이 저장한 것은 개인정보보호법 제29조(안전조치의무) 위반에 해당하며, 과징금 부과 사유가 된다.

실무적으로는 사고 발생 후 72시간 내 신고 의무(개인정보보호법 제34조의2)와 유출 통지 의무(동법 제34조) 이행 여부가 향후 제재 수위를 결정짓는 핵심 요소다. 협회는 즉시 개인정보보호위원회 및 한국인터넷진흥원(KISA)에 신고하고, 유출 대상자 전원에게 유출 항목·시점·조치사항을 명확히 통지해야 한다. 또한 회원사들 역시 자체 보유 시스템에 대한 긴급 점검을 실시하고, 협회와의 정보 연계 프로세스를 재설계해야 한다. 이번 사고를 계기로 식품업계 전반이 정보보호 거버넌스를 강화하고, 공급망 보안(Supply Chain Security) 관점에서 협력사·협회 등 제3자 보안 수준을 정기 점검하는 체계를 구축할 필요가 있다.

ISMS-P 심사원 체크포인트

1. 인증기준 2.8.1 (개인정보 암호화) 위반 비밀번호는 복호화 불가능한 일방향 암호화(해시+솔트)로 저장해야 하며, 연락처 등 고유식별정보는 안전한 암호 알고리즘(AES-256 등)으로 암호화해야 한다. 심사 시 DB 저장 방식, 암호화 키 관리 정책, 암호 모듈 검증 여부(KCMVP)를 점검한다. 개인정보보호법 제29조, 시행령 제30조(안전성 확보조치 기준)에 따른 기술적 조치 이행 여부가 핵심이다.

2. 인증기준 2.5.3 (접근권한 관리) 미흡 협회-회원사 간 정보 공유 시스템은 최소권한 원칙과 직무분리 원칙을 적용해 접근권한을 부여하고, 주기적 재검토(최소 연 1회)를 실시해야 한다. 심사 시 권한 신청·승인·회수 절차, 계정 현황 관리대장, 불필요 계정 정기 삭제 이력을 확인한다. 특히 다수 조직이 접근하는 시스템은 역할 기반 접근통제(RBAC) 도입 여부를 중점 점검한다.

3. 인증기준 2.10.4 (개인정보 유출사고 대응) 절차 준수 유출사고 발생 시 72시간 내 개인정보보호위원회 신고, 14일 내 유출 대상자 통지(개인정보보호법 제34조, 제34조의2)가 의무다. 심사 시 침해사고 대응 계획서, 모의훈련 이력, 유출 통지 템플릿, 신고 절차 매뉴얼 구비 여부를 확인한다. 또한 로그 보관 주기(최소 6개월) 준수 여부와 로그 위변조 방지 대책(WORM 스토리지 등)도 점검 대상이다.

CPPG·ISMS-P 연계 포인트

1. 비밀번호 안전성 확보 조치 (개인정보보호법 제29조, 시행령 제30조) 비밀번호는 복호화가 불가능한 일방향 암호화(해시함수+솔트)로 저장해야 하며, 전송 시 TLS 1.2 이상 암호화 통신을 적용해야 한다. CPPG 시험에서는 안전한 해시 알고리즘(SHA-256 이상), 솔트 사용 필수성, 평문 저장 금지 원칙이 자주 출제된다. ISMS-P 인증심사에서는 실제 DB 저장 방식, 암호 모듈 검증(KCMVP) 여부, 키 관리 정책을 현장 점검한다.

2. 개인정보 유출 통지 및 신고 의무 (개인정보보호법 제34조, 제34조의2) 개인정보처리자는 유출 사실 인지 시 지체 없이(72시간 내) 개인정보보호위원회 및 전문기관(KISA)에 신고하고, 14일 내 정보주체에게 유출 항목·시점·조치사항을 통지해야 한다. 1만명 이상 대규모 유출 시 유출 통지를 홈페이지 등에 30일 이상 게시해야 한다. CPPG 시험에서는 신고·통지 시한, 통지 방법, 과태료(3천만원 이하) 부과 기준이 핵심이며, ISMS-P 심사에서는 침해사고 대응 계획서와 모의훈련 이력을 필수 점검한다.