해킹으로 인한 개인정보 유출, 대학교 두 곳에 2억3580만원 과징금 부과

개인정보보호위원회(개인정보위)는 13일 열린 전체회의에서 순천향대학교와 경성대학교에 대해 총 2억3580만원의 과징금을 부과하기로 결정했다. 순천향대는 1억9300만원의 과징금과 660만원의 과태료를 부과받았다. 해킹 공격으로 인해 학교의 공식 홈페이지에 존재하던 웹로직 취약점을 악용해 개인정보가 유출된 사건이 발생했다. 해커는 사이트 내부 저장 공간에 악성파일을 설치하고 이탈한 개인정보를 소셜미디어에 유포한 것으로 확인됐다.

유출된 정보는 500명 이상의 개인정보로, 주민등록번호를 포함해 이름, 학과, 학번, 주소, 연락처, 사번 등을 포함하고 있었다. 개인정보위에 따르면, 순천향대는 2017년 오라클에서 배포한 웹로직 취약점에 대한 보안 패치를 적용하지 않았으며, 방화벽 기능을 제대로 설정하지 않았다. 또한, 주민등록번호가 포함된 강사 채용 관련 자료를 암호화 조치 없이 내부 저장공간에 보관했던 점도 문제로 지적됐다.

개인정보위는 순천향대에 시정조치를 명령하였으며, 여기에는 침입 방지 시스템(IPS)과 침입 탐지 시스템(IDS) 설치 및 운영, 적용되지 않은 보안 패치의 조속한 적용, 주민등록번호 등이 포함된 문서의 암호화 조치 등이 포함되었다. 개인정보 보호 대책 전반에 대한 개선 권고도 이루어졌다.

경성대는 4280만원의 과징금을 부과받았다. 경성대 역시 해킹을 통해 교내 종합정보시스템으로부터 개인정보가 유출되었고, 해커는 이 정보를 SNS에 유포하였다. 유출 피의자는 약 2000명으로, 이름, 학과, 학번, 전화번호 등을 포함한 개인정보가 노출되었다. 개인정보위에 따르면 경성대는 부과 결정이 나오기 전인 7일에 보안 패치를 적용한 것으로 나타났다.

이 사건은 국내 교육기관의 개인정보 보호에 대한 경각심을 일깨우는 사례로 평가된다. 대학 등 교육기관은 정보 보호를 위해 필요한 보안 조치를 제대로 이행해야 하며, 해킹과 같은 사이버 공격에 대비하기 위한 철저한 안전 장치를 마련해야 한다는 전문가의 조언이 이어지고 있다. 특히, 교육기관이 학생과 교직원의 개인정보를 안전하게 보호하지 못할 경우 그 신뢰성이 크게 저하될 수 있다는 점도 강조되고 있다.

아울러, 개인정보 보호 법규 위반에 대한 처벌 강화와 함께 기관 차원의 정보 관리 시스템을 점검하고 개선할 필요성이 대두된다. 정기적인 보안 점검과 패치 관리가 이뤄져야 하며, 이에 대한 투자가 기업과 기관의 책임이라는 시각이 우세하다. 개인정보 안전관리 체계와 교육이 연계되어야만 이러한 사건을 사전에 예방할 수 있을 것으로 보인다.

│

이 포스트는 피시아(PHYSIA) 사에서 운영하는 게임투비즈(GameToBiz) R&D 블로그에서 작성되었으며, 공공의 이익에 기여하는 목적을 제외한 다른 용도의 무단 배포 및 수정을 금합니다. 참조 - 피시아(PHYSIA), 게임투비즈(GameToBiz), 게임메이커.KR, 게임S/W에이전시, 저널CTL코리아