개인정보위, 오래된 취약점 방치해 해킹 당한 순천향대·경성대에 과징금

최장혁 개인정보보호위원회 부위원장이 지난 13일 오후 서울 종로구 정부서울청사에서 열린 2024년 제19회 전체회의를 주재하고 있다.(개인정보보호위원회 제공)

순천향대와 경성대가 오래된 취약점을 보안 패치하지 않아 해킹 공격으로 개인정보를 유출해 과징금을 물게 됐다.

개인정보보호위원회는 지난 13일 전체회의를 열고, 개인정보보호 법규를 위반한 순천향대와 경성대에 각각 과징금 1억9300만원과 과태료 660만원, 과징금 4280만원을 부과했다.

순천향대는 학교 대표 홈페이지에 존재하는 웹로직 취약점을 악용한 해커에 의해 개인정보가 유출됐다. 이번 웹로직 취약점은 2017년 10월 보안패치가 배포됐으나 순천향대는 이를 적용하지 않았다.

해커가 사회관계망서비스(SNS)에 공개한 파일을 분석한 결과, 학생·교직원 등 20명 이상의 주민등록번호를 포함한 500여명(2000여건) 이상의 개인정보(이름·학과·학번·주소·연락처·소속·사번 등)가 유출된 것으로 확인됐다.

개인정보위는 순천향대에 △침입방지시스템(IPS)·침입탐지시스템(IDS) 설치·운영, △2017년10월 오라클이 배포한 보안패치 적용 △내부 저장공간에 주민등록번호가 포함된 증빙자료 보관 시 암호화 조치에 대해 시정조치를 명령하는 동시에 개인정보 보호대책 전반을 정비하도록 개선권고했다.

경성대 역시 웹로직 취약점 해소를 위한 보안패치를 적용하지 않아 교내 종합정보시스템(경성포털)이 해킹 공격을 받아 개인정보가 유출됐다. 해커가 SNS에 공개한 파일을 분석한 결과, 학생 2000여명(4000여건)의 개인정보(이름·학과·학번·휴대전화번호)가 유출된 것으로 확인됐다.

개인정보위는 경성대에 개인정보 보호대책 전반을 정비하도록 개선권고했다.

개인정보위는 양교 모두 개인정보처리시스템에 존재하는 웹로직 상 취약점을 6년 이상 개선하지 않고 방치함에 따라 동일한 해커에 의해 공격을 받은 것으로 추정하고 있다.

개인정보위 관계자는 “대학은 학사정보 등 대량의 개인정보를 처리하고 있어 유출사고 우려가 크다”면서 “보안 업데이트 등 안전조치와 관련된 의무 사항 이행은 물론 외부의 불법접근 시도에 대한 상시 모니터링 등 각별한 주의가 필요하다”고 당부했다.

조재학 기자 2jh@etnews.com