이력서·연봉 정보 쌓인 HR 플랫폼, 개인정보 관리 시험대 올랐다

개인정보위원회 평가 대상에 포함...업계 보안 강화 분주

취업/HR/교육입력 :2026/07/07 17:57    수정: 2026/07/07 18:38

이력서와 연봉 등 방대한 개인정보를 보유한 HR 플랫폼들이 정부의 개인정보 처리방침 평가 대상에 오르며 관리 체계 점검을 받게 됐다. 최근 수년간 일부 채용 플랫폼에서 개인정보 유출 사고가 반복된 데다, 기업 인수합병(M&A)에 따른 개인정보 해외 이전 우려까지 제기되면서 관리 체계 전반에 대한 점검 필요성이 커지고 있기 때문이다.

국내 HR 플랫폼들은 보안 투자 확대와 관리 체계 강화에 나서고 있다. 다만 개인정보보호위원회 평가 결과에 따른 조치가 개선 권고에 그친다는 점에서 실효성에는 한계가 있다는 지적도 나온다.

7일 IT업계에 따르면 개보위는 지난 6일 ‘제 3기 개인정보 처리방침 평가위원회’를 출범하고 국민생활과 밀접한 7개 분야, 52개 서비스를 대상으로 개인정보 처리 방침을 살펴보겠다는 계획을 발표했다. 

이 위원회는 외부 전문가 30명으로 구성됐으며, 기업과 기관이 공개한 개인정보 처리방침의 법령 준수 여부, 실제 처리 현황 일치성, 권리 보장 수준 등을 종합적으로 살펴본다.

개인정보 보호. (사진=클립아트코리아)

학력·연봉 등 개인정보 다수…유출 이력·해외 이전 우려도

개보위가 살펴보는 7개 분야에는 HR 플랫폼도 포함된다. HR 플랫폼의 경우 이용자가 올려둔 자기소개서와 이력서에 이름, 이메일, 학력, 근무회사와 이력 등 다량의 개인정보가 포함돼 있다. 일부 이력서에는 지원자 사진과 연봉도 기재돼 있다.

여기에 일부 플랫폼은 지난 몇 년 사이 개인정보가 유출된 전력이 있다. 웍스피어가 운영하는 알바몬은 지난해 5월 임시저장 이력서 2만2473건이 유출됐다. 유출 정보에는 임시저장된 이력서 정보 내 이름과 휴대폰 번호, 이메일 주소 등이 포함된다.

인크루트는 2024년 7월 3만5000건, 지난해 1월 해커의 공격으로 728만 명의 개인정보를 빼앗겼다. 해당 사안을 두고 개보위는 4억6300만원의 과징금을 부과했다. 리멤버 역시 2023년 단체 이메일을 발송하는 과정에서 다른 사람의 이메일 주소가 노출되는 ‘동보 메일’ 실수로 365명이 피해를 입었다.

알바몬 해킹사태 발생

지난해 리멤버가 글로벌 사모펀드 EQT 파트너스에 인수되면서 개인정보 해외 이전 우려도 커지고 있다. 이에 강민국 국민의힘 의원은 대규모 개인정보를 보유한 기업의 인수합병이 진행되면 개보위의 사전 심사를 거치도록 하는 내용이 골자인 법안을 준비 중이다.

실제로 빗썸은 가상자산 거래 정보 국외 이전 과정에서 규정 위반으로 문제가 됐다. 빗썸이 해외 가상자산거래소와 오더북(호가창)을 공유하고 가상자산을 이전할 때 이용자 동의를 받은 거래소가 아닌 다른 거래소로 회원번호와 주문정보를 국외 이전했기 때문이다.

보안 대책 강화하는 HR 플랫폼…예산·인력도 확대

지난 몇 년 사이 개인정보 유출 과정과 처리 방침에 대한 문제가 불거졌던 만큼 국내 HR 플랫폼들은 관련 조치를 강화하고 예산을 늘렸다.

웍스피어는 지난해 해킹 시도 인지 즉시 해당 계정과 IP를 차단하고 보안 취약점에 대한 긴급 조치를 완료했다. 또 외부 해킹 및 계정 탈취 시도에 대한 상시 탐지 체계를 강화하고, 전문기관과 협력을 통해 점검 결과 등을 공유하고 있다. 개인정보 파일 다운로드 시 휴대전화 인증·사유 입력, 파일 암호화 강제 적용 등 기술적·관리적 보호조치를 운영 중이다.

사람인은 정기적인 내외부 감사를 통해 외부 위협에 대한 방어력을 강화하고 있다. 전사 정보보호 교육, 모의 훈련, 정보자산보호 등이 대표적인 예시다. AI 활용에서도 개인정보 최소수집 원칙을 적용하며 알고리즘이 구직자의 민감 정보를 학습하거나 저장하지 않도록 설계했다. 2024년 36.13%, 지난해 45.21%, 올해 43.9%로 지난 3년간 IT 예산 대비 정보보호 예산 비율도 늘렸다.

채용 관련 이미지. (사진=클립아트코리아)

인크루트는 서비스, 서버·네트워크, 임직원 PC 등 전 영역에 걸쳐 관리 기준을 상향하고 임직원 보안 인식 제고 활동을 강화하고 있다. VPN, 서버, 업무시스템 등 모든 시스템에 다중 인증(MFA) 절차를 적용하고 있다. IT 예산 중 정보보호 관련 예산 30%이며, IT 인력 가운데 정보보호 인력 비중은 9% 내외다.

리멤버는 사고 이후 2024년 10월 개인정보보호지침 및 별도 가명정보 절차 수립·시행, 고유식별정보 등의 암호화, 전산실 등의 접근 통제 조치를 담은 개인정보 처리방침을 개정했다. 메일 발송 전 통제 절차 강화와 및 처벌 규정도 신설했다. 

원티드랩은 ‘제로다크웹’ 기술을 도입해 개인정보의 다크웹 유출을 방지하고 있으며, 정보보호투자액은 2024년 약 2억8000만원에서 지난해 약 4억1500만원까지 확대했다.

개선 권고가 최대…“강제성은 없어, 마무리는 10월 말”

다만 이번 위원회가 내릴 수 있는 조치는 과징금 등 강제 수단 없고 개선 권고에 그쳐 실효성는 의문이 제기된다. 

개보위 관계자는 “개인정보 처리 방침에 작성된 내용으로 인해 곧바로 침해가 발생한 것은 아니다”라며 “구체적인 조사 등이 병행돼야 해 개선권고의 대상은 될 수 있어도 내용만으로 처분 대상이 된다고 보기는 어렵다”고 말했다.

개보위가 꾸린 평가위원회는 서면으로 전체적인 내용을 먼저 살펴보는 기초 평가, 기초 평가 과정에서 확인이 어려운 내용을 살펴보는 심층 평가(현장 평가), 기업의 이의신청 후 진행되는 종합 평가 순으로 진행된다.

기초 평가는 이달 중으로 마무리될 예정이며, 심층 평가는 8월 중순부터 9월 초까지 이어진 후 20일간의 이의신청 기간을 거쳐 10월 말에 종합평가를 마친다. 위원회는 이 때 최고제품책임자(CPO)와의 면담을 통해 정보 처리에 대한 관심도를 살펴본다.

관련기사

만약 기관 및 기업의 개인정보 처리방침이 법령을 준수하지 않았다면 개선 권고를 내리고, 미흡한 사항을 안내 후 충분한 개선 시간을 가진 뒤 이행 점검을 진행하게 된다. 개보위 관계자는 “이행 점검 이후에도 권고 사항이 반영되지 않은 경우에 대한 추가적인 고민이 필요하다”고 덧붙였다.

김명주 서울여대 정보보호학부 교수는 "몇 천만원에 해당하는 비싼 과태료라도 매기는 것이 의미가 있다"며 "(위원회 입장에서는) 지금까지 과태료를 책정하지 않다가, 갑자기 매기는 것에 대한 부담감이 있었을 것"이라고 짚었다.