순천향대와 경성대, 개인정보 보안 허점으로 과징금 부과

순천향대학교와 경성대학교가 개인정보보호위원회(이하 개인정보위)로부터 개인정보 보호 법규 위반으로 인해 제재를 받았다. 지난 13일 개인정보위는 제19회 전체회의에서 두 대학에 총 2억3천580만 원의 과징금과 660만 원의 과태료를 부과하기로 결정했다고 밝혔다.

이번 사건에서 순천향대는 학교 대표 홈페이지의 웹로직 취약점을 악용한 해커의 공격을 받아 개인정보가 유출된 것으로 밝혀졌다. 해커는 대표 홈페이지의 내부 저장공간에 악성파일을 설치해 학생과 교직원 등 500여 명의 개인정보를 탈취했고, 이 중 20명 이상은 주민등록번호가 포함되어 있었다. 유출된 정보는 소셜미디어를 통해 유포되었다.

조사 결과, 순천향대는 오라클이 2017년 10월 배포한 웹로직 취약점 보안패치를 적용하지 않았으며, 사용 중인 방화벽(UTM)에 포함된 웹방화벽(WAF) 및 침입방지시스템(IPS)의 기능도 설정하지 않은 것으로 나타났다. 또한, 침입탐지시스템(IDS)도 설치하지 않았으며, 주민등록번호가 포함된 증빙자료를 암호화하지 않고 보관하여 외부 접근을 막지 못했다.

이에 따라 개인정보위는 순천향대에 대해 과징금 1억9천300만 원, 과태료 660만 원을 부과하고, 보안시스템 설치 및 운영, 오라클 보안패치 적용, 내부 저장공간에 주민등록번호가 포함된 자료 암호화 등의 시정조치를 명령했다.

경성대 또한 순천향대와 유사한 방식으로 개인정보가 유출됐다. 해커는 경성포털 시스템을 통해 학생 2천여 명의 개인정보를 탈취했으며, 오라클의 보안패치 역시 적용하지 않았다. 개인정보위는 경성대에 과징금 4천280만 원을 부과하고 보안 대책 전반을 정비할 것을 개선 권고했다.

두 대학 모두 웹로직 취약점을 6년 이상 방치한 결과, 동일한 해커로부터 공격을 받은 것으로 추정된다. 이에 대해 개인정보위는 대량의 학사정보를 처리하는 대학의 경우 보안 업데이트 등 안전조치를 필수적으로 이행해야 하며, 외부 불법 접근 시도에 대해 상시적인 모니터링이 필요하다고 강조했다.

이번 사건은 대학이 보유한 대량의 개인정보에 대한 보안 관리의 중요성을 다시금 일깨워 주며, 교육 기관들의 보안 관리 체계 강화를 위한 경각심을 불러일으키고 있다. 안전한 정보 관리 및 보안 체계 확립은 향후 발생할 수 있는 유사 사건 예방에 있어 필수적이다.

│

이 포스트는 피시아(PHYSIA) 사에서 운영하는 게임투비즈(GameToBiz) R&D 블로그에서 작성되었으며, 공공의 이익에 기여하는 목적을 제외한 다른 용도의 무단 배포 및 수정을 금합니다. 참조 - 피시아(PHYSIA), 게임투비즈(GameToBiz), 게임메이커.KR, 게임S/W에이전시, 저널CTL코리아