고용정보원·장학재단, 26만명 개인정보 유출…총 과태료 1천680만원

개인정보보호위원회가 한국고용정보원과 한국장학재단에 대해 각 840만 원의 과태료를 부과하고, 아울러 시스템 보안 대책도 정비하도록 개선 권고하기로 했다고 오늘(25일) 밝혔습니다.

개인정보위는 지난해 6∼7월 한국고용정보원의 '워크넷'(구인·구직 사이트)에 신원 미상의 자가 '크리덴셜 스터핑' 방식으로 침입해 23만 6천여 명의 개인정보가 유출된 사실을 확인했습니다.

한국장학재단 홈페이지의 경우에도 동일한 방식에 의해 3만 2천여 명의 개인정보가 유출된 사실이 확인됐습니다.

크리덴셜 스터핑은 공격자가 다른 방법을 통해 계정, 비밀번호 정보를 취득한 후 또 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격 중 하나입니다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보입니다.

두 기관 모두 24시간 감시·모니터링 체계는 갖추고 있었지만 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책(로그인 시도가 일정 횟수 이상 실패할 경우 계정 잠금, 암호 외 문자· OTT 인증 추가 등 2단계 이상 인증 등)은 미흡했던 것으로 밝혀졌습니다.

개인정보위 조사 결과에 따르면 워크넷에는 국내외 26개 IP를 통해 1초당 최대 166회, 총 4천500만 번 이상 로그인 시도가 있었고 이 가운데 56만 번 로그인에 성공(성공률 1.25%)한 기록이 확인됐습니다.

한국장학재단 홈페이지에는 국내외 44만여 개 IP를 통해 1초당 최대 240회, 총 2천100만 번 이상 로그인 시도가 있었고 이 가운데 3만 6천 번 로그인에 성공(성공률 0.17%)한 기록이 확인됐습니다. 조사 과정에서 고유식별정보(주민등록번호)를 암호화하지 않고 평문으로 저장한 위반 사항도 확인됐습니다.

사건 이후 두 기관은 보안 대책 설정을 재정비하는 등 위반 사항을 시정하고 유사 피해가 재발하지 않도록 기존의 로그인 방식을 변경했습니다.

개인정보위는 대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크기 때문에 시스템의 특성을 감안해 로그인 시도가 증가하는 시기, 횟수 등에 대한 분석을 통해 시스템 보안 대책의 임계치를 조정하거나 대책을 변경하는 등 유연한 대응 체계를 갖출 필요가 있다고 강조했습니다.

또 개인정보 보호법 개정에 따라 공공기관의 개인정보 유출에 대해서는 제재 수위가 강화된 만큼 기관 차원의 각별한 주의를 당부했습니다.

당신의 제보가 뉴스로 만들어집니다.SBS Biz는 여러분의 제보를 기다리고 있습니다.홈페이지 = https://url.kr/9pghjn

짧고 유익한 Biz 숏폼 바로가기

SBS Biz에 제보하기

저작권자 SBS미디어넷 & SBSi 무단전재-재배포 금지