두 대학, 보안 소홀로 개인정보 유출 및 과징금 부과받아

순천향대학교와 경성대학교가 보안 취약점 개선 미비로 인해 개인정보 유출 사건과 이에 따른 과징금, 과태료 처분을 받았다. 개인정보보호위원회는 두 학교가 개인정보보호 법규를 위반했다고 판단하여 총 2억3580만원의 과징금과 660만원의 과태료를 부과했다. 순천향대는 과징금 1억9300만원과 과태료 660만원, 경성대는 과징금 4280만원에 처해졌다.

순천향대학교의 경우, 해커는 오라클의 자바 기반 애플리케이션 서버인 웹로직의 취약점을 악용해 학교 홈페이지에 악성파일(웹셸)을 설치하고 개인정보를 유출했다. 피해는 500명 이상으로, 학생과 교직원의 이름, 학번, 주소, 연락처를 포함한 세부 정보가 유출됐다. 심지어 20명 이상의 주민등록번호까지 포함된 것으로 드러났다. 주요 원인으로는 오라클이 제공한 2017년 보안패치를 적용하지 않았고, 사용 중인 보안 시스템을 제대로 설정하지 않은 점이 지적됐다.

순천향대는 방화벽과 침입방지시스템을 제대로 적용하지 않았으며, 내부 저장공간에 민감한 정보를 암호화하지 않고 보관하여 결과적으로 외부 해커의 손쉬운 표적이 되었다. 이에 개인정보보호위원회는 순천향대에 시정 명령과 더불어 보안 패치 적용, 개인정보 보호방안 개선을 권고했다.

경성대학교 역시 웹로직의 취약점을 개선하지 않아 같은 방법으로 공격을 받아 내부의 개인정보가 유출됐다. 피해 규모는 약 2000명의 학생 정보가 포함됐으며 이는 SNS를 통해 빠르게 번진 것으로 확인됐다. 경성대도 마찬가지로 죄책을 물게 되며 보안 정책의 전반적인 재정비 권고를 받았다.

두 학교의 반복적인 보안 소홀은 동일한 해커에 의해 타깃이 된 것으로 추정되고 있다. 이는 관리 소홀로 인한 보안 사고가 큰 피해를 초래할 수 있음을 보여주는 사례다. 개인정보보호위원회는 교육기관들이 다량의 개인정보를 처리하고 있기 때문에 보안 관리가 필수적이며, 지속적인 모니터링과 보안 시스템 업데이트가 이루어져야 한다고 강조했다.

이번 사건은 정부와 교육기관, 그리고 기술 공급자가 협력하여 보안 취약점을 조기에 발견하고 대응하는 체계의 중요성을 일깨워 주었다. 특히, 대규모 데이터와 연결된 서비스는 신속한 보안 패치를 통해 예방적 조치를 취하는 것이 필수적이다. 이는 정부와 기업뿐 아니라 교육기관에도 동일하게 적용될 필요가 있다.

마지막으로, 개인정보 관리의 중요성과 책임의식을 다루기 위한 교육 및 지속적인 시스템 개선 노력이 요구된다. 이는 개인정보 침해를 최소화하고, 정보 주체의 신뢰를 확보하는 첫걸음이 될 것이다.

│

이 포스트는 피시아(PHYSIA) 사에서 운영하는 게임투비즈(GameToBiz) R&D 블로그에서 작성되었으며, 공공의 이익에 기여하는 목적을 제외한 다른 용도의 무단 배포 및 수정을 금합니다. 참조 - 피시아(PHYSIA), 게임투비즈(GameToBiz), 게임메이커.KR, 게임S/W에이전시, 저널CTL코리아