[국민건강보험공단] 개인정보 노출 사고로 182명 피해_2025년 09월

'건강보험공단' 장기요양기관 포털 시스템 오류로 대표자·종사자·수급자 182명 개인정보 노출, 개인정보위 사실관계 확인 착수

□  개요  

     2025년 9월 초, 국민건강보험공단(이하 건보공단)의 장기요양기관 포털에서 시스템 오류로 인해 182명의 개인정보가 노출되는 사고가 발생했다. 노출된 개인정보는 성명, 생년월일, 전화번호 등 최대 5종으로 확인됐다. 건보공단은 접속자 폭증으로 일부 서버 과부하가 발생해 다른 기관의 개인정보가 잘못 표시되는 오류가 발생했다고 설명했으며, 개인정보보호위원회(이하 개인정보위)는 사실관계 확인 절차에 착수했다. 건보공단은 즉시 사과문을 발표하고 피해자 개별 통지 및 시스템 점검을 실시했다고 밝혔다.

 

□  사고내용 요약  

    1. 회사명 : 국민건강보험공단
    2. 사고유형 : 전산 시스템 오류에 의한 개인정보 노출

    3. 유출규모 : 182명
    4. 유출항목 : 성명, 생년월일, 전화번호, 일부 계정 정보(2~5종 개인정보 노출 사례)

□  해킹대응 타임라인  

    -  2025년 9월 1일 : 장기요양기관 포털에서 시스템 오류 발생, 타 기관 개인정보가 잘못 표시됨
    -  2025년 9월 9일 : 국회 보건복지위원회 김선민 의원실, 건보공단으로부터 사건 관련 자료 제출받음
    -  2025년 9월 9일 : 사건 언론 보도 확산
    -  2025년 9월 10일 : 개인정보위, 사실관계 확인 절차 착수 발표
    -  2025년 9월 10일 : 건보공단, 사과문 발표 및 피해자 개별 통지, 포털 긴급 점검 실시

□  홈페이지 공지 내역   
    - 건강보험공단은 9월 10일 보도설명자료를 통해 대국민 사과 발표
    - 개인정보가 노출된 대상자에게는 관련 법령에 따라 개인정보 사고 경위 등을 개별 통지

 

□  대응내역  

    -  건강보험공단 : 긴급 사고대응팀 설치, 장기요양기관 포털 정상화 조치
    -  개인정보보호위원회 : 사실관계 확인 절차 착수, 위법 소지 확인 시 조사 및 행정처분 검토
    -  국회 : 국회 보건복지위원회 차원의 자료 검증 및 관리감독 촉구

□ 재발방지대책(권고사항)   

    1. 기술적 조치
       -  대규모 접속자 증가 상황 대비한 서버 이중화 및 부하 분산 설계
       -  개인정보 처리 화면에 대한 철저한 세션 분리 및 검증 로직 강화
       -  개인정보 노출 탐지 및 자동 차단 시스템 도입

    2. 관리적 조치
       -  개인정보 처리 시스템에 대한 정기 점검 및 모의훈련 강화
       -  개인정보 노출 사고 발생 시 72시간 내 기관 보고 및 공지 의무 준수
       -  재발 방지를 위한 전사적 개인정보보호 관리체계(PIMS) 보완
       -  담당자 대상 개인정보보호 교육 및 책임 강화

□  관련기사(출처)  

• 개인정보위, 건보공단 개인정보 노출 ‘사실관계 확인’ 착수…182명 노출 - 이데일리
• 국민건강보험 공단 개인정보 노출 사고…개보위, 확인 착수 - 지디넷코리아
• 해킹 맛집으로 전락한 한국...이번엔 건보공단 개인정보 유출 - 생생비즈
• 개인정보위, 건보공단 '개인정보 유출' 사실확인 착수 - 디지털데일리

 

250910 (보도참고) 개인정보위, 국민건강보험공단 대상 사실관계 확인 개시(조사총괄과).pdf

0.13MB

 

감사합니다.