2025.11.?? 서울개인택시운송사업조합 내부자 개인정보 유출 요약

1. 개요

• 2025년 11월, 서울 지역 개인택시기사 약 5만여 명이 가입된 서울개인택시운송사업조합에서 대규모 개인정보 유출 사고가 발생하였습니다. 
• 조합 소속 직원이 특정 기사의 개인정보를 부정하게 조회한 뒤 화면을 촬영하여 외부로 전달함으로써 민감한 개인정보가 대중에 노출되었으며, 이 사안은 2025년 11월 카카오톡 단체 대화방을 통해 처음 적발되었습니다. 
• 서울 송파경찰서는 해당 사건을 접수하여 공식적인 수사를 착수하였습니다.

 

2. 피해 범위

• 이 사건의 피해 범위는 상당히 광범위합니다. 
• 서울개인택시운송사업조합에 가입한 약 5만여 명의 개인택시기사들이 잠재적 피해자에 해당합니다. 
• 특히 문제가 되는 점은 조합원이라면 누구나 내부 시스템에 접속하여 다른 조합원의 정보를 열람할 수 있었던 구조로 인해, 다수의 기사들이 부정하게 정보를 조회당했다는 것입니다.
• 실제 조합 내부 전산망 조회 기록을 살펴보면, 특정 피해 기사의 경우 지난 1년간 약 220회 이상 정보가 조회되었으며, 이번 유출 사건의 직접 피해자 역시 30회 이상 조회된 상태였습니다. 
• 조회는 조합 본사뿐만 아니라 각 지역 사무실, LPG 충전소 등 산발적인 장소에서 이루어졌습니다.

 

3. 유출 항목

 - 유출된 개인정보는 매우 민감한 항목들로 구성되어 있습니다.

• 이름과 연락처(기본 정보)
• 계좌번호
• 소득액 및 소득 금액 정보

 - 특히 계좌번호와 소득액은 금융 활동과 직결되는 매우 민감한 정보로서, 신원 확인 정보와 결합될 경우 금융 사기나 사기성 거래에 악용될 수 있는 위험성이 높습니다.

 

4. 원인

• 이 사건의 직접적인 원인은 조합 소속 직원의 부정행위입니다. 
• 해당 직원이 특정 기사의 개인정보를 업무 범위를 벗어나 조회한 뒤, 모니터 화면을 촬영하여 외부로 전달하였습니다. 
• 이후 이 자료는 특정 기사를 비난하는 문구를 포함하여 카카오톡 단체 대화방에 게시되었습니다.
• 그러나 더 근본적인 원인은 서울개인택시운송사업조합의 구조적 결함에 있습니다. 
• 조합 내부 시스템에 접근 통제 장치가 부족하여 조합원이라면 누구나 다른 조합원의 정보를 자유롭게 열람할 수 있는 환경이 조성되어 있었습니다. 
• 조합 관계자 또한 이를 인정하며 "조합원 누구나 내부 프로그램에 접속하면 다른 사람의 정보를 아무렇게나 볼 수 있는 상황이었다"고 진술했습니다.
• 또한 서울시로부터 개인정보 관리를 위탁받은 조합에서 업무상 필요하지 않은 계좌번호와 소득액까지 수집·보유하고 있던 점도 문제가 되었습니다. 
• 서울시 관계자는 "개인정보는 업무 수행에 필요한 최소한의 범위에서만 수집돼야 한다는 점에서 미흡한 부분이 있었다"고 명시했습니다.

 

5. 대응

 - 조합의 대응

• 서울개인택시운송사업조합은 정보 유출 직원에 대한 징계 조치를 취하였습니다. 
• 그러나 조합 측은 이를 개인 직원의 일탈로만 한정하려 하는 입장을 보였습니다.

 - 서울시의 대응

  > 서울시는 관리 부실에 대한 책임을 인정하고 다음과 같은 대책을 마련하기로 했습니다.

• 개인정보 접근 권한의 최소화 조치
• 접속 기록 관리 강화
• 내부 유출 방지 대책 마련
• 개인정보 취급자 대상 교육 강화
• 관련 개선 조치의 이행 여부를 정기적으로 제출 및 점검

 - 경찰의 대응

• 서울 송파경찰서는 해당 사건에 대한 고소장을 접수하여 공식 수사를 착수했습니다.

 

6. 문제점

 - 이 사건은 여러 중층적인 문제점을 노출하고 있습니다.

  > 구조적 접근 통제 부재

• 조합의 내부 시스템에 역할 기반 접근 통제(Role-Based Access Control, RBAC)가 전혀 구현되지 않았습니다. 
• 모든 조합원이 동일한 권한으로 정보 시스템에 접속할 수 있도록 설계되어 있어, 불필요한 정보 접근이 기술적으로 차단되지 않았습니다.

  > 감시 및 기록 관리의 부재

• 조회 기록이 관리되지 않았거나 적절히 모니터링되지 않았던 것으로 보입니다. 
• 특정 기사의 정보가 1년간 220회 이상 조회되었다는 사실은 비정상적인 접근 패턴이 적시에 감지되지 않았음을 의미합니다.

  > 필요 이상의 정보 수집

• 서울시로부터 위탁받은 택시운전자격 발급 및 관리 업무에 필수적이지 않은 계좌번호와 소득액까지 수집·보유한 것은 개인정보보호법의 최소수집 원칙을 위반하는 것입니다.

  > 감독 체계의 한계

• 위탁기관인 조합에 대한 서울시의 감독이 충분하지 못했습니다. 
• 서울시 담당자도 "조합에서 계좌번호와 소득액까지 수집하고 있는 부분에 대해서는 인지하지 못하고 있었다"고 인정했습니다.

  > 개인 일탈로의 책임 축소 시도

• 조합 측의 개인 직원 징계만으로는 근본적인 문제를 해결할 수 없습니다. 
• 조직의 구조적 결함이 충분히 시정되지 않으면 유사 사건의 재발 가능성이 높습니다.

 - 이 사건은 공공 업무를 위탁받은 조직의 개인정보 관리 책임이 얼마나 중요한지, 그리고 기술적·행정적 통제 장치가 얼마나 필수적인지를 명확히 보여주고 있습니다.
​