보안 뚫고 개인정보 유출…대학·기업에 무더기 과징금 부과

개보위, 모두 1억2080만원 부과

게티이미지뱅크

개인정보보호위원회가 개인정보를 유출시킨 대학·단체와 개인정보 안전조치 의무를 소홀히 한 기업들에게 무더기로 과징금을 부과했다.

개인정보보호위는 지난 11일 전체회의를 열고, 경북대·숙명여대 등 6개 대학·단체에서 모두 81만여건의 개인정보가 유출된 사실을 확인하고, 과징금 및 과태료로 모두 1억2080만원을 물리기로 의결했다고 12일 밝혔다.

개인정보보호위가 지난해 11월 경북대 쪽으로부터 개인정보 유출 신고를 받아 조사한 결과, 2021년 경북대 학생 2명이 학교시스템의 보안 취약점을 악용해 파라미터(매개변수) 위조, 웹셸(악성코드) 업로드, 관리자계정 취약점(비밀번호 관리 소홀) 이용 등 다양한 방법으로 여러 시스템에 무단 접속한 것으로 파악했다. 교내 컴퓨터 네트워트 보안과 해킹 등을 연구하는 동아리에 소속된 이들은 이후 유사한 방법으로 학교 관련 단체와 주변 대학으로 공격 범위를 확대해나간 것으로 드러났다.

개인정보보호위는 이들이 ‘학교 보안 시스템의 취약점을 점검하겠다’는 목적으로 해킹을 시도한 것으로 보고 있다. 유출된 81만여건의 개인정보에는 학교 구성원의 이름·학번·연락처 등을 비롯해 주민등록번호 2만여건도 포함된 것으로 확인됐다. 또한 개인정보보호위는 주민등록번호가 유출된 경북대 등 6개 대학·단체가 접근 권한 관리 등 개인정보보호법이 정한 안전조치 의무를 위반했다고 밝혔다.

이밖에도 개인정보보호위는 슈나이더일렉트릭코리아·신일전자·국민은행 등 3개 사업자에 대해 모두 2억3199만원의 과징금과 1620만원의 과태료 부과 및 개선권고 처분도 의결했다. 조사 결과, 슈나이더일렉트릭코리아와 신일전자는 개인정보 안전조치 의무를 소홀히 하다 해킹을 당해 관리자 계정을 탈취당하고 이용자 개인정보도 유출시켰다. 여기에 신일전자는 고객 개인정보 수집 당시 명시한 보유기간이 지난 뒤까지도 파기하지 않은 사실과 개인정보 유출 통지를 지연한 사실도 추가로 드러났다.

국민은행은 지난 4월 알뜰폰(MVNO) 이동통신 서비스 관련 웹사이트 운영 과정에서 아이피(IP) 주소 등 개인정보 수집과 관련해 정보 주체에게 필수·선택 사항을 구분하지 않고 동의를 받은 사실이 확인됐다.

박지영 기자 jyp@hani.co.kr