'개인정보 80만건 유출' 서울대병원 7천475만원 과징금

서울대병원 2021년 6월 해커 웹셸 공격받아...국토부도 2천500만원 과징금

[아이뉴스24 김혜경 기자] 80만건의 개인정보가 유출된 서울대병원이 7천475만원의 과징금 제재를 받았다.

기관별 위반내용 및 시정조치 [사진=개인정보위]

개인정보보호위원회는 10일 전체회의를 열고 서울대병원, 국토교통부 등 14개 공공기관에 과징금과 과태료를 부과하기로 결정했다.

조사 결과 서울대병원은 2021년 6월 해커의 웹셸(Web Shell) 공격으로 유휴 서버 내부의 개인정보가 유출된 것으로 나타났다. 웹셸은 시스템에 명령을 내릴 수 있는 코드다. 웹서버 취약점을 통해 서버 스크립트가 게재되면 공격자는 원격으로 해당 웹서버를 조종할 수 있다. 1만89건의 주민등록번호를 비롯해 2만여건이 넘는 개인정보가 유출됐다.

해커는 이미 확보한 계정정보를 이용해 병리자료 서버에 침입, 81만38명의 진료정보를 탈취했다. 이와 함께 내부망 전자사보 데이터베이스(DB) 접속 후 1천953명의 직원 정보를 빼돌린 것으로 확인됐다. 총 3번에 걸쳐 개인정보가 탈취된 셈이다. 개인정보위는 서울대병원에 7천475만원의 과징금과 660만원의 과태료를 부과했다.

국토부에는 2천500만원의 과징금이 부과했다. 개인정보위 조사 결과 건축 행정 시스템 수정 과정에서 오류가 발생해 주민등록번호가 유출됐다.

서울교통공사의 경우 전 직원에게 다른 직원의 주소지를 검색할 수 있는 접근 권한을 부여하고, 직위 해제된 직원의 접근 권한을 말소하지 않은 것으로 나타났다.

이외 개인정보를 잘못 발송하거나 재활용 분리장에 방치하는 등의 행위로 개인정보가 유출된 기관에 대해서는 300만~900만원의 과태료를 부과했다.

남석 개인정보위 조사조정국장은 "공공기관의 경우 다량의 개인정보를 처리하고 있어 작은 위반 행위로도 심각한 피해로 이어질 가능성이 크다"며 "집중관리시스템이 아니더라도 심각한 유출 사고가 발생한 공공시스템은 점검대상에 포함할 예정'이라고 말했다.

/김혜경 기자(hkmind9000@inews24.com)