장학재단, 840만원 과태료 처분…해킹공격에 개인정보 유출

장학재단 대구 본사 전경/사진제공=한국장학재단

해킹 공격을 받아 회원 개인정보를 대량 유출시킨 한국장학재단이 과태료 처분을 받았다.

26일 '머니S' 취재 결과에 따르면 개인정보보호위원회는 최근 전체회의를 갖고, 해킹 공격을 받아 회원 개인정보를 대량 유출시킨 장학재단에 과태료 840만원을 부과하고, 시스템 보안대책 개선을 권고했다.

실제 개보위 조사 결과 장학재단 누리집은 크리덴셜 스터핑' 방식 해킹 공격을 받아 회원 3만2000여명의 개인정보가 빠져나갔다. 크리덴셜 스터핑이란 계정·비밀번호 정보를 취득한 뒤 침투에 성공할 때까지 로그인을 시도하는 공격 방식 중 하나이다.

개보위 관계자는 "장학재단은 24시간 감시·모니터링 체계를 갖추고 있었으나, 크리덴셜 스터핑 공격에 대응할 수 있는 보안 대책(예를 들어 로그인 시도가 일정 횟수 이상 실패하면 계정이 잠궈지게 하거나 암호 외 문자·오티티(OTT) 인증 추가 등)은 미흡했던 것으로 드러났다"고 말했다.

또 "장학재단 누리집에는 44만여개 아이피에서 초당 최대 240회, 총 2100만회 이상 로그인 시도가 있었고, 이 중 0.17%가 로그인에 성공했다"고 밝혔다.

그는 "대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 커, 로그인 시도가 증가하는 시기 및 횟수 등에 대한 분석을 통해 시스템 보안대책의 임계치를 조정하거나 대책을 변경하는 등 유연한 대응체계를 갖출 필요가 있다"며 "개인정보보호법 개정에 따라 지난해 9월 이후 발생한 개인정보 유출에 대해서는 과징금이 부과되는 등 제재 수위가 높아진다"고 강조했다.

대구=김덕엽 기자 ghost12350@mt.co.kr
<저작권자 ⓒ '성공을 꿈꾸는 사람들의 경제 뉴스' 머니S, 무단전재 및 재배포 금지>