보안패치 적용 안 해 학생 등 개인정보 수천건 유출
(서울=연합뉴스) 이상서 기자 = 해킹으로 학생과 교직원 등의 개인정보를 유출한 순천향대와 경성대에 총 2억3천여만원의 과징금이 부과됐다.
개인정보보호위원회는 13일 전체회의를 열고 개인정보보호법을 위반한 순천향대와 경성대에 이 같은 규모의 과징금 처분을 의결했다고 14일 밝혔다.
개인정보위는 두 대학 모두 개인정보처리시스템에 존재하는 웹로직 상 취약점을 6년 이상 개선하지 않고 방치함에 따라 동일한 해커에 의해 공격받았다고 추정했다.
'웹로직 취약점'을 이용한다면 외부인도 관리자 계정에 로그인하지 않고 서버에서 악의적인 코드를 원격으로 실행하는 수법으로 데이터를 빼낼 수 있다.
해커는 탈취한 개인정보 수천여건을 사회관계망서비스(SNS)에 유포했다.
순천향대의 경우 학생과 교직원 등 20여명의 주민등록번호를 포함한 500여명의 이름, 학과, 학번, 주소, 연락처, 소속, 사번 등 개인정보 2천여건이 외부로 흘러 나갔다.
경성대에서 해커가 탈취해 SNS에 유포한 개인정보에는 학생 2천여명의 이름, 학과, 학번, 휴대전화번호 등 개인정보 4천여건이 담겨 있었다.
순천향대와 경성대는 홈페이지 및 교내 종합정보시스템에 적용된 소프트웨어를 개발한 오라클이 2017년 10월 웹로직 취약점 해소를 위해 배포한 보안패치를 적용하지 않은 것으로 확인됐다.
특히 경성대는 개인정보위 의결 전인 지난 7일 보안패치 적용을 완료했으나, 순천향대는 당시도 적용하지 않았다.
순천향대는 또 설치된 방화벽(UTM)에 포함된 웹방화벽(WAF)과 침입방지시스템(IPS) 기능을 설정하지 않았으며, 방화벽에 포함되지 않은 침입탐지시스템(IDS)을 별도로 설치·운영하지 않아 외부의 불법적인 접근을 막을 수 없던 것으로 드러났다.
개인정보위는 순천향대에 과징금 1억9천300만원과 과태료 660만원을 부과하고 ▲ IPS·IDS 설치 및 운영 ▲ 오라클 보안패치 적용 ▲ 내부 저장공간에 주민등록번호가 포함된 증빙자료 보관 시 암호화 조치 등의 시정조치를 명령했다.
아울러 전반적인 개인정보 보호 대책을 정비하도록 개선 권고했다.
경성대에는 과징금 4천280만원을 부과하면서, 개인정보 보호 대책 전반을 정비하도록 개선 권고하기로 했다.
개인정보위는 "대학은 학사 정보 등 대량의 개인정보를 처리하고 있어 유출 사고 우려가 크기에 보안 프로그램 설치·운영이나 업데이트 등 안전조치와 관련된 의무 사항을 반드시 이행해야 한다"며 "외부의 불법 접근 시도에 대해서도 상시 모니터링할 필요가 있다"고 당부했다.
shlamazel@yna.co.kr
Copyright ⓒ 연합뉴스 무단 전재 및 재배포 금지
