경북대생 사이버 공격에 6개 대학·단체 개인정보 81만건 유출

개보위, 경북대 등 6개 대학·단체에 과징금 등 1억2080만원 부과
해킹으로 관리자 계정 등 탈취된 신일전자엔 과징금 2억원

고학수 개인정보보호위원회 위원장이 11일 오후 서울 종로구 세종대로 정부서울청사에서 열린 전체회의에서 모두 발언을 하고 있다. 2023.10.11/뉴스1 ⓒ News1 김명섭 기자

(서울=뉴스1) 윤수희 기자 = 경북대학교 학생 2명이 경북대, 숙명여대 등 6개 대학·단체를 상대로 사이버 공격을 해 총 81만여 건의 개인정보가 유출된 것으로 나타났다.

개인정보보호위원회는 11일 전체회의를 열어 경북대 등 6개 대학·단체에 대해 총 1억2080만원의 과징금·과태료 부과를 의결했다고 12일 밝혔다.

지난해 11월 경북대의 신고로 조사에 착수한 개인정보위는 경북대 소속 학생 2명이 2021년 8월부터 학교 시스템 보안 취약점을 악용해 여러 시스템에 무단 접속한 사실을 확인했다.

이들은 유사한 방법으로 경북대 총동창회, 대구가톨릭대, 구미대, 대구한의대, 숙명여대 등으로 공격 범위를 확대한 것으로 조사됐다.

그 결과 총 81만여 건의 성명·학번·연락처 등 개인정보가 유출되고 그 중엔 경북대, 숙명여대 구성원들의 주민등록번호 2만여 건도 포함된 것으로 드러났다.

개인정보위는 경북대와 숙명여대가 접근 권한 권리, 접근 통제 등 개인정보보호법상 안전조치 의무를 위반했다고 판단, 경북대에는 5750만 원의 과징금과 720만 원의 과태료를, 숙명여대에는 3750만 원의 과징금과 300만 원의 과태료를 부과했다.

접근 통제 등 안전조치 의무 위반 사실이 확인된 4개 대학·단체에 대해서도 360만원에서 420만원의 과태료를 각각 부과했다.

또한 개인정보위는 해킹으로 이용자 개인정보와 관리자 계정이 탈취되고 개인정보 수집 당시 명시한 보유기간이 지났는데도 개인정보를 파기하지 않은 신일전자에 대해 과징금 2억2400만원, 과태료 1080만원을 부과했다.

이밖에 해킹 공격을 받은 신슈나이더일렉트릭코리아에는 과징금 799만원과 과태료 420만원을 IP 주소 등 개인정보 수집에 관해 정보주체에게 필수·선택 사항을 구분하지 않고 동의를 받은 국민은행에 과태료 120만원을 부과했다.

한편 개인정보위는 해외 사업자의 국내대리인 운영 실태점검 결과 국내대리인의 성명, 주소 등을 개인정보 처리방침에 포함하지 않거나 현행화하지 않은 텐센트클라우드, 힐튼, 하얏트에 대해 시정조치를 명했다.

보호법상 의무는 충족했으나 △민원 제기를 위한 전화 연결 곤란 △자동응답시스템(ARS)을 통해 이메일 주소만 고지 △본사에 직접 민원 제출을 안내 등 국내대리인 제도 운영이 미흡한 아마존 웹 서비스 등 12개 사업자에 대해서는 개선을 권고하였다.

국내대리인 제도는 개인정보 침해 사고 발생시 신속한 조사 협조를 위해 도입됐으며, 국내대리인은 개인정보보호 책임자로서의 민원처리, 내부통제 시스템 구축 등 업무 전반을 담당하게 된다.

ysh@news1.kr