개인정보위, ‘회원정보 유출’ 한국고용정보원·한국장학재단에 과태료

840만원씩 물리고, 시스템 보안대책 개선도 권고

게티이미지뱅크

개인정보보호위원회는 24일 전체회의를 열어, 해킹 공격을 받아 회원 개인정보를 대량 유출시킨 한국고용정보원과 한국장학재단에 각각 과태료 840만원을 부과하고, 시스템 보안대책 개선을 권고하기로 했다고 25일 밝혔다.

개인정보보호위 조사에 따르면, 한국고용정보원 구인·구직 누리집 ‘워크넷’은 지난해 6~7월 ‘크리덴셜 스터핑’ 방식 해킹 공격을 받아 회원 23만6천여명의 개인정보가 유출됐다. 한국장학재단 누리집도 같은 방식 해킹 공격을 받아 회원 3만2천여명의 개인정보가 빠져나갔다. 크리덴셜 스터핑이란 계정·비밀번호 정보를 취득한 뒤 침투에 성공할 때까지 로그인을 시도하는 공격 방식 중 하나이다.

개인정보보호위는 “두 기관 모두 24시간 감시·모니터링 체계를 갖추고 있었으나, 크리덴셜 스터핑 공격에 대응할 수 있는 보안 대책(예를 들어 로그인 시도가 일정 횟수 이상 실패하면 계정이 잠궈지게 하거나 암호 외 문자·오티티(OTT) 인증 추가 등)은 미흡했던 것으로 드러났다”며 “워크넷에는 국내외 26개 아이피(IP)를 통해 초당 최대 166회, 총 4500만회 이상의 로그인 시도가 있었는데, 이 가운데 1.25%가 로그인에 성공했고, 한국장학재단 누리집에는 44만여개 아이피에서 초당 최대 240회, 총 2100만회 이상 로그인 시도가 있었고, 이 중 0.17%가 로그인에 성공했다”고 밝혔다.

주민등록번호 같은 고유식별정보를 암호화하지 않고 평문으로 저장해 개인정보 보호 지침을 위반한 사실도 확인됐다.

개인정보보호위 관계자는 “대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 커, 로그인 시도가 증가하는 시기 및 횟수 등에 대한 분석을 통해 시스템 보안대책의 임계치를 조정하거나 대책을 변경하는 등 유연한 대응체계를 갖출 필요가 있다”며 “개인정보보호법 개정에 따라 지난해 9월 이후 발생한 개인정보 유출에 대해서는 과징금이 부과되는 등 제재 수위가 높아진다”고 말했다.

김재섭 선임기자 jskim@hani.co.kr