[새마을금고] 안양 본점 이사장 고의 개인정보 유출 사고_2025년 06월

안양 새마을금고 이사장이 고객 개인정보를 외부 업체에 고의 유출 … 1,000건 미만 유출, 피해자에 대한 통지 없이 삭제 조치만 시행

 

□  개요  

     2024년 10월, 경기도 안양시에 위치한 새마을금고 본점에서 당시 재직 중이던 이사장이 회원 개인정보를 외부 업체에 고의로 유출한 사고가 발생하였다.
해당 이사장은 금고나 회원들과 무관한 외부 업체에 온라인을 통해 개인정보를 무단 전송한 것으로 확인되었으며, 유출된 정보는 약 1,000건 미만으로, 주민등록번호 등 민감 정보는 포함되지 않은 것으로 알려졌다.
    새마을금고 측은 유출 사실 인지 즉시, 개인정보를 받은 업체에 방문해 삭제 조치를 진행하였으나, 피해자에게는 유출 사실을 통지하지 않아 개인정보보호법 위반 논란이 제기되었다. 해당 이사장은 2025년 3월 퇴임했으며, 이후 새마을금고중앙회로부터 ‘직무 정지’ 중징계를 받았고, 관련 직원 2명도 견책 처분을 받았다. 현재까지 정보 유출로 인한 2차 피해는 확인되지 않았으며, 중앙회는 재발 방지를 위한 지속적인 지도와 관리 감독 강화를 예고했다.

 

□  사고내용 요약  

    1. 회사명 : 새마을금고 안양 본점
    2. 사고유형 : 임직원의 고의적 개인정보 외부 유출

    3. 개인정보 유출범위 : 2024년 10월 당시 회원 약 1,000명 미만
    4. 개인정보 유출항목 :  △이름 등 일반 개인정보 (※ 주민등록번호 등 민감 정보는 포함되지 않음)

□  해킹대응 타임라인  

    -  2024년 10월 : 개인정보 유출 발생
    -  2024년 10월 말 : 새마을금고 측 유출 사실 인지 및 업체 방문 삭제 조치
    -  2025년 3월 : 유출 책임 이사장 퇴임
    -  2025년 5월 말 : 이사장 '직무 정지' 중징계 및 관련 직원 2명 견책
    -  2025년 6월 13일 : 사고 언론 보도 및 유출 사실 공식 확인

 

□  개인정보 유출 사과공지  

 

    ※ 본 사고의 경우 피해 고객에게 공식 통지가 이루어지지 않아, 별도의 사과 메일이나 공지가 없었음.

        (개별 안내여부는 별도 확인필요) 이는 개인정보보호법 제34조에 따라 개인정보 유출 사실을 지체 없이 정보주체에게 통지해야 한다는 규정을 위반한 것으로 해석될 수 있음.

 

□  대응내역  

    -  유출된 개인정보의 즉시 삭제 조치
    -  유출 책임자(이사장) 및 관련 직원에 대한 징계
    -  고객 고지 체계 개선 필요
    -  개인정보보호법 준수를 위한 전 임직원 교육 및 지도 감독 강화
    -  지점별 개인정보 처리 프로세스 정기 점검 실시 예정

 

□  관련기사(출처)  

• 안양 새마을금고 개인정보 유출...피해자에게 통지 안해 - 포쓰저널
• [단독] 새마을금고서 개인정보 유출…고객은 몰라 - SBS미디어넷

 

감사합니다.