농촌진흥청(이하 농진청)이 운영하는 주요 홈페이지에서 수십만 건의 개인정보가 해킹으로 유출된 데 이어, 피해자 동의 없이 이용자 비밀번호를 일괄 변경한 사실이 드러나 논란이 일고 있다. 개인정보보호법상 ‘명시적 동의’ 절차를 무시한 것으로, 정부기관의 안이한 보안 인식과 사후 대응이 도마 위에 올랐다.

국회 농림축산식품해양수산위원회 서삼석 더불어민주당 의원(영암·무안·신안)이 농진청으로부터 제출받은 자료에 따르면, 농진청이 관리하는 5개 홈페이지에서 총 47만 9천여 건의 개인정보가 유출됐다. 중복 계정을 제외한 실제 피해는 40만 7,345건에 달하는 것으로 확인됐다.

문제의 발단은 지난 4월, 농진청 홈페이지 운영을 맡은 용역업체 사무실 내 저장장치가 외부 해킹 공격을 받아 침투당한 사건이었다.

해킹 발생 사흘 뒤인 4월 10일, 농진청 산하 ‘축사로’ 사이트 가입자 정보 3천여 건이 유출됐고, 이후 추가 조사를 통해 나머지 47만여 건의 개인정보가 이미 빠져나간 사실이 뒤늦게 드러났다. 농진청은 4월 25일이 되어서야 개인정보보호위원회에 신고했다.

“동의 없는 비밀번호 변경”… 법 위반 논란

더 큰 문제는 농진청의 사후 대응이다. 농진청은 피해 계정의 비밀번호를 가입자 동의 절차 없이 일괄적으로 변경했으며, 이 사실을 피해자에게 별도로 통보하지도 않았다.

농진청은 이에 대해 “자진 변경률이 낮아 불가피했다”고 해명했으나, 이는 현행 개인정보보호법 제39조의3에 정면으로 배치된다.

해당 법 조항은 “개인정보처리자는 개인정보 주체의 명시적 동의를 받아야 한다”고 규정하고 있으며, 특히 비밀번호나 인증정보 변경과 같은 행위는 이용자의 의사와 무관하게 임의로 처리할 수 없도록 금지하고 있다.

유출된 계정 중에서도 ‘농촌진흥사업종합관리시스템’은 65세 이상 고령 이용자가 33%에 달하는 것으로 조사됐다.

비밀번호 변경 통보 없이 기존 로그인 정보가 무효화되자, 상당수 고령 이용자들이 접속에 어려움을 겪고 있으며, 일부는 피싱·스미싱 공격 등 2차 피해에 노출될 가능성도 제기되고 있다.

“피해 방지를 위한 조치”라던 농진청의 결정이 오히려 추가 피해를 유발하는 역설적 상황이 벌어진 셈이다.

전문가들은 정부기관이 기본적인 법적 의무조차 지키지 않은 것은 심각한 문제라고 지적한다.

한 정보보안 전문가는 “농진청처럼 국민 개인정보를 다루는 기관이 절차적 정당성을 무시한 조치를 취한 것은 단순 행정 편의주의의 결과”라며 “공공기관의 보안 거버넌스 전반을 재점검해야 한다”고 말했다.

서삼석 의원은 “농진청이 법률상 금지된 비밀번호 임의 변경을 시행한 것은 명백한 위법 행위”라며 “그 취지가 어떻든 피해자 동의 없는 개인정보 조작은 법에서 금하고 있는 만큼 이번 국정감사에서 철저히 검증하겠다”고 밝혔다.

농촌진흥청의 이번 사건은 단순한 해킹 피해를 넘어, 국민 개인정보 보호 의무를 정부 스스로 위반한 사례라는 점에서 파장이 크다.

공공기관이 스스로의 편의에 따라 법률을 해석하고, 피해자 통보 절차를 생략한다면 국민의 신뢰는 무너질 수밖에 없다.

'공공 데이터의 안전한 관리와 절차적 투명성 확보' 이 두 가지를 소홀히 한 정부기관의 ‘보안 무책임’ 행정이 다시는 반복돼선 안 된다는 목소리가 커지고 있다.