"해커가 학생 정보 수천건 빼내" 개보위, 순천향대·경성대에 과징금

순청향대 1억9300만 원·경성대 4280만 원 부과 결정
"서버 보안패치 적용 안해, 동일한 해커 공격으로 추정"

[이데일리 최연두 기자] 개인정보보호위원회는 지난 13일 열린 제19회 전체회의에서 개인정보보호법을 위반한 순천향대와 경성대에 과징금 총 2억3580만 원과 과태료 660만 원을 부과하는 안건을 의결했다고 밝혔다.

최장혁 개인정보보호위원회 부위원장이 지난 13일 서울 종로구 정부서울청사에서 개최된 2024년 제19회 개인정보위 전체회의에서 의사봉을 두드리고 있다.(사진=개인정보위)

개인정보위 조사 결과, 순천향대는 학교 대표 홈페이지에 존재하는 웹로직 취약점을 악용한 해커에 의해 개인정보가 유출됐다. 해커는 홈페이지 내부 저장공간에 악성파일(웹셸)을 설치해 개인정보를 탈취한 후 이를 소셜미디어에 유포했다. 유포된 파일에는 학생과 교직원 등 20명 이상의 주민등록번호를 포함, 500여 명의 개인정보(이름·학과·학번·주소·연락처·소속·사번 등) 2000여 건이 담긴 것으로 확인됐다.

개인정보위에 따르면 순천향대는 서버 업체 오라클이 지난 2017년 10월 웹로직 취약점 해소를 위해 배포한 보안패치를 현재까지 적용하지 않았다. 또한, 순천향대가 사용하는 방화벽(UTM)에 포함된 웹방화벽(WAF)과 침입방지시스템(IPS) 기능을 설정하지 않았으며, UTM에 미포함된 IDS는 별도로 설치·운영하지 않아 외부의 불법적인 접근을 방지하지 못했다.

이와 함께 주민번호가 포함된 강사 채용 관련 증빙자료를 내부 저장공간에 보관하면서 암호화 조치를 하지 않은 사실도 밝혀졌다.

이에 개인정보위는 순천향대에 과징금 1억9300만 원과 과태료 660만 원 부과 결정을 내렸다. IPS와 IDS 설치·운영, 오라클이 배포한 보안패치 적용, 내부 저장공간에 주민번호가 포함된 증빙자료 보관시 암호화 조치 등에 대한 시정조치도 명령했다.

경성대도 순천향대와 동일한 방법으로 교내 종합정보시스템(경성포털)이 해킹 공격을 받아 개인정보가 유출됐다. 해커는 탈취한 개인정보를 소셜미디어에 유포했는데, 여기에는 학생 2000여 명의 개인정보(이름·학과·학번·휴대전화 번호) 4000여 건이 포함됐다.

조사 결과, 경성대 역시 오라클이 웹로직 취약점 해소를 위해 배포한 보안패치를 적용하지 않았다. 이에 개인정보위는 경성대에 과징금 4280만 원을 부과하면서 개인정보 보호 대책 전반을 정비하도록 개선 권고하기로 했다. 경성대 측은 이번 개인정보위의 심의·의결에 앞서 이달 7일 해당 보안패치 적용을 완료했다.

개인정보위 관계자는 “이번 사건은 순천향대와 경성대 모두 개인정보 처리 시스템에 존재하는 웹로직 상 취약점을 6년 이상 개선하지 않고 방치함에 따라 동일한 해커에 의해 공격을 받은 것으로 추정된다”고 설명했다.

이어 “대학은 학사정보 등 대량의 개인정보를 처리하고 있어 유출사고 우려가 크므로 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전 조치와 관련된 의무 사항을 반드시 이행하는 것은 물론, 외부의 불법접근 시도에 대해서도 상시 모니터링하는 등 각별한 주의가 필요하다”고 당부했다.

최연두 (yondu@edaily.co.kr)