해킹으로 개인정보 털린 순천향대·경성대에 과징금 2억여원
보안패치 적용안해 학생등 개인정보 수 천건 유출
연합뉴스 송고시간 2024-11-1412:00
해킹으로 학생과 교직원등의 개인정보를 유출한 순천향대 와 경성대 에 총2억3천여만원의 과징금이 부과됐다. 개인정보보호위원회는13일 전체회의를 열고 개인정보보호법을 위반한 순천향대 와 경성대 에 이같은 규모의 과징금처분을 의결했다고 14일밝혔다.
개인정보위는 순천향대, 경성대 모두 개인정보처리시스템에 존재하는 웹로직상 취약점을 6년이상 개선하지않고 방치함에 따라 동일한 해커에 의해공격받았다고 추정했다.
‘웹로직취약점’을 이용한다면 외부인도 관리자계정에 로그인하지않고 서버에서 악의적인 코드를 원격으로 실행하는 수법으로 데이터를 빼낼수있다. 해커는 탈취한 개인정보 수 천여건을 사회관계망서비스(SNS)에 유포했다.
순천향대의 경우 학생과 교직원등 20여명의 주민등록번호를 포함한 500여명의 이름,학과 , 학번, 주소, 연락처, 소속, 사번 등 개인정보 2천여건이 외부로 흘러나갔다.
경성대에서 해커가 탈취해 SNS에 유포한 개인정보에는 학생2천여명의 이름,학과,학번, 휴대전화번호등 개인정보 4천여건이 담겨 있었다. 순천향대 와경성대 는 홈페이지 및 교내 종합정보시스템에 적용된 소프트웨어를 개발한 오라클이 2017년10월 웹로직취약점 해소를 위해 배포한 보안패치를 적용하지 않은것으로 확인됐다.
특히 경성대는 개인정보위의 결전인 지난7일 보안패치적용을 완료했으나, 순천향대는 당시도적용하지않았다. 순천향대는 또 설치된방화벽(UTM)에 포함된웹방화벽(WAF)과 침입방지시스템(IPS) 기능을 설정하지않았으며, 방화벽에 포함되지않은 침입탐지시스템(IDS)을 별도로 설치 · 운영하지않아 외부의 불법적인 접근을 막을 수 없던 것으로 드러났다.
개인정보위는 순천향대에 과징금1억9천300만원과 과태료660만원을 부과하고 ▲ IPS·IDS 설치및운영 ▲오라클보안패치 적용 ▲내부저장공간에 주민등록번호가 포함된 증빙자료 보관 시 암호화
조치등의 시정조치를 명령했다. 아울러 전반적인 개인정보보호대책을 정비하도록 개선권고했다.
경성대에는 과징금4천280만원을 부과하면서, 개인정보보호대책 전반을 정비하도록 개선 권고하기로했다. 개인정보위는”대학은 학사정보등 대량의 개인정보를 처리하고 있어 유출사고 우려가 크기에 보안프로그램설치·운영이나 업데이트등 안전조치와 관련된 의무사항을 반드시 이행해야한다”며 “외부의 불법접근 시도에 대해서도 상시모니터링 할 필요가있다”고 당부했다.