25만명 개인정보 유출···한국고용정보원·한국장학재단, 과태료 1680만원

'크리덴셜 스터핑' 공격 보안 강화

[서울경제]

한국고용정보원과 한국장학재단이 개인정보를 유출해 각각 840만 원의 과태료를 부과받았다.

개인정보보호위원회는 24일 전체회의를 열고 양 기관에 대한 과태료 부과와 개인정보 관리 시스템 보안 대책을 정비하도록 개선 권고했다고 25일 밝혔다.

개인정보위는 지난해 6월부터 한 달 간 한국고용정보원의 구인·구직 사이트인 ‘워크넷’에 신원 미상의 자가 ‘크리덴셜 스터핑(사전에 여러 방법으로 확보한 아이디와 비밀번호로 로그인을 시도)’ 방식으로 침입해 23만 6000여 명의 개인정보가 유출된 사실을 확인했다.

한국장학재단 홈페이지에서도 동일한 방식으로 3만 2000여 명의 개인정보가 유출된 사실이 개인정보위 조사 결과 드러났다.

양 기관 모두 24시간 감시·모니터링 체계를 갖췄지만 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책은 미흡했다고 개인정보위는 설명했다. 이에 양 기관은 유사 피해가 재발하지 않도록 기존의 로그인 방식을 변경했다.

개인정보위 관계자는 “대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크기 때문에 시스템 특성을 감안해 로그인 시도가 증가하는 시기 및 횟수 등에 대한 분석을 통해 시스템 보안 대책의 임계치를 조정하거나 대책을 변경하는 등 유연한 대응 체계를 갖춰야 한다”고 말했다.

아울러 개인정보위는 사전적정성 검토를 신청한 2개 안건에 대해 사업자와 마련한 개인정보보호법 준수방안도 의결했다.

사전적정성 검토는 새로운 서비스에 대해 개인정보 관련 법적 불확실성을 해소하기 위해 도입된 제도다. 개인정보보호법 준수방안을 신청인과 개인정보위가 협의해 마련하고, 준수방안이 이행된 경우 중대한 사정 변경이 없는 한 처분하지 않는다.

벡터시스는 인공지능(AI) 영상정보처리기기(CCTV) 선별관제 솔루션을 디사일로와 뱅크샐러드는 ‘동형암호 연산으로 산출된 통계값을 활용하는 경우 가명처리에 해당하는지’에 관한 사전적정성 검토를 신청했다.

윤지영 기자 yjy@sedaily.com