인크루트

유출된 개인정보 항목

사고 경위

2025년 1월, 신원 미상의 해커가 인터넷망에 접속한 인크루트 직원의 업무용 PC에 악성코드를 감염시켰다. 이를 통해 DB 접속 계정을 탈취한 해커는 내부 시스템에 침투해 2025년 1월 19일부터 2월 23일까지 약 1달여에 걸쳐 총 438GB에 달하는 정보를 유출했다.

유출된 정보에는 전체 회원 7,275,843명의 이름·성별·휴대전화번호·학력·경력·사진·장애여부·병역사항 등 18개 항목의 개인정보와 이력서·자기소개서·자격증 사본 등 개인저장파일 54,475건이 포함됐다.

인크루트는 업무 시간 외 비정상적인 DB 접속 기록과 대용량 트래픽이 발생했음에도 이상 행위에 대한 대응을 소홀히 해 약 2달이 지난 후 해커의 협박 메일을 수신하고 나서야 유출 사실을 인지했다. 민감정보를 처리하는 개인정보취급자 PC에 대한 인터넷망 차단 조치도 이루어지지 않았다.

인크루트는 2023년 7월에도 크리덴셜 스터핑 공격으로 개인정보 35,076건이 유출돼 과징금 처분을 받은 바 있어, 3년 이내 반복 유출 사고로 개인정보위의 엄정한 제재를 받았다.

처분 결과

과징금 4억 6,300만 원, 공표명령, 시정명령(전문 CPO 신규 지정·재발방지 계획 60일 내 보고)