개인정보위, '해킹 개인정보 81만건 유출' 경북대 등 6개 단체 과징금

[이코노믹데일리] 개인정보 81만여건이 유출된 사고가 발생한 경북대 등 6개 대학·단체가 당국으로부터 총 1억 2080만 원의 과징금과 과태료가 부과됐다. 개인정보 보호를 위한 조처를 소홀히 한 KB국민은행 등 3개 사업자도 과징금·과태료 처분을 받거나 개선 권고를 받았다.

개인정보보호위원회는 지난 11일 전체회의를 열어 △경북대(과징금 5750만원, 과태료 720만원) △숙명여대(과징금 3750만원, 과태료 300만원) △경북대 총동창회(과태료 420만원) △구미대(과태료 420만원) △대구가톨릭대(과태료 360만원) △대구한의대(과태료 360만원) 등의 과징금과 과태료 부과 처분을 심의·의결했다고 12일 밝혔다.

개인정보위는 지난해 11월 경북대측으로부터 개인정보 유출신고를 접수받아 조사에 나섰고 경북대 소속 학생 2명이 학교 시스템 보안 취약점을 악용해 파라미터(매개변수) 변조, 웹셸(악성코드) 업로드, 비밀번호 관리 소홀 등 관리자 계정 취약점 이용과 같은 다양한 방법으로 여러 시스템에 무단 접속한 사실을 파악하고 학교 관련 단체나 주변 대학으로 공격 범위를 확대한 사실을 확인했다.

이후 이들은 유사한 방법으로 학교 관련 단체나 주변 대학으로 공격 범위를 확대해 나간 사실도 확인했다. 이 사고로 유출된 개인정보는 81만여건에 달했다. 유출 항목에는 학교 구성원들의 이름, 학번, 연락처 등이 있었고 주민등록번호도 2만여건이 포함됐다.

숙명여대에 대한 공격은 관리자 계정 취약점을 이용한 방식으로 진행됐다. 경북대 총동창회, 대구카톨릭대, 구미대, 대구한의대 등 4개 기관에 대한 공격은 웹셸 업로드 방식을 거쳐 시스템 불법 접근, 개인정보 탈취 등으로 이어졌다.

개인정보위는 주민등록번호가 유출된 경북대, 숙명여대에 접근권한 관리, 접근통제 등 개인정보보호법상 안전조치 의무 위반을 이유로 과태료와 과징금을 부과했다. 다른 4곳도 접근통제 등 안전조치 의무 위반 사실이 확인돼 과태료를 부과받았다.

이밖에도 개보위는 개인정보보호 법규를 위반한 슈나이더일렉트릭코리아, 신일전자, 국민은행 등 3개 사업자에 대해 총 2억 3199만 원의 과징금과 1620만 원의 과태료 부과 및 개선권고 처분도 심의·의결했다.

업체별로는 △슈나이더일렉트릭코리아 과징금 799만 원·과태료 420만 원 △신일전자 과징금 2억 2400만 원·과태료 1080만 원 △국민은행 과태료 120만 원, 개선권고 등이다.

국민은행은 알뜰폰(MVNO) 이동통신 서비스 관련 웹사이트 운영 과정에서 아이피(IP) 주소 등 개인정보 수집과 관련해 정보 주체에게 필수·선택 사항을 구분하지 않고 동의를 받은 사실이 개보위 조사 결과 확인됐다.

개인정보위는 "현재는 공공기관의 경우 주민등록번호 유출시에만 과징금 대상이지만, 앞으로는 개정된 '개인정보보호법'에 따라 공공기관도 개인정보가 유출되면 과징금 부과 대상이 될 수 있다"며 "공공기관 관련 개인정보 유출에 대한 제재 수위가 과거에 비해 대폭 강화된 만큼 보다 세심한 관심을 기울일 필요가 있다"고 당부했다.

이어 "디지털 전환의 가속화로 웹 취약점을 악용한 사이버 공격이 꾸준히 피해를 일으키고 있어 웹 취약점 점검을 상시적으로 실시하는 한편, 내부 관계자에 의한 해킹 시도에도 각별한 주의가 요구된다"고 전했다.