개인정보위, 안전조치 의무를 위반한 2개 대학 제재

- 보안 프로그램 업데이트 등 개인정보 유출 방지를 위한 기본적 안전조치 이행에 각별한 주의 당부

  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 11월 13일(수) 제19회 전체회의를 열고, 개인정보보호 법규를 위반한 순천향대학교와 경성대학교에 대해 총 2억 3,580만 원의 과징금과 660만 원의 과태료를 부과하기로 의결하였다.

  개인정보 유출 신고에 따라 조사가 이루어진 이들 2개 대학교의 구체적인 위반 내용과 처분 결과는 다음과 같다.

  ① 순천향대학교 : 과징금 1억 9,300만 원과 과태료 660만 원 부과, 시정명령, 개선권고

  순천향대학교는 학교 대표 홈페이지에 존재하는 웹로직 취약점*을 악용한 해커에 의해 개인정보가 유출되었다. 해커는 대표 홈페이지 내부 저장공간에 악성파일(웹셸)을 설치하여 개인정보를 탈취한 후 이를 소셜네트워크서비스(SNS)에 유포하였다. 해커가 공개한 파일을 분석한 결과, 학생·교직원 등 20명 이상의 주민등록번호를 포함한 5백여 명(2천여 건) 이상의 개인정보(이름, 학과, 학번, 주소, 연락처, 소속, 사번 등)가 유출된 것으로 확인되었다.

   * 공격자가 관리자 계정에 로그인하지 않고도, 서버에서 악의적인 코드를 원격으로 실행시켜 데이터를 유출시킬 수 있었음

  조사 결과, 순천향대학교는 오라클이 ’17.10월 웹로직 취약점 해소를 위해 배포한 보안패치를 현재까지 적용하지 않았다. 또한, 순천향대학교가 사용하는 방화벽(UTM)에 포함되어 있는 웹방화벽(WAF)과 침입방지시스템(IPS) 기능을 설정하지 않았으며, 방화벽(UTM)에 포함되어 있지 않은 침입탐지시스템(IDS)은 별도로 설치·운영하지 않아 외부의 불법적인 접근을 방지하지 못하였다.

  또한, 주민등록번호가 포함된 강사채용 관련 증빙자료를 내부 저장공간에 보관하면서 암호화 조치를 하지 않은 사실도 밝혀졌다.

  이에 개인정보위는 순천향대학교에 과징금 1억 9,300만 원과 과태료 660만 원을 부과하고, ▲침입방지시스템(IPS)·침입탐지시스템(IDS) 설치·운영, ▲’17.10월 오라클이 배포한 보안패치 적용, ▲내부 저장공간에 주민등록번호가 포함된 증빙자료 보관시 암호화 조치에 대해 시정조치를 명령하는 동시에 개인정보 보호대책 전반을 정비하도록 개선권고하였다.

  ② 경성대학교 : 과징금 4,280만 원 부과, 개선권고

  경성대학교의 경우에도 순천향대학교와 동일한 방법으로 교내 종합정보시스템(경성포털)이 해킹 공격을 받아 개인정보가 유출되었으며, 해커는 탈취한 개인정보를 소셜네트워크서비스(SNS)에 유포하였다. 해커가 공개한 파일을 분석한 결과, 학생 2천여 명(4천여 건)의 개인정보(이름, 학과, 학번, 휴대전화번호)가 유출된 것으로 확인되었다.

  조사 결과, 경성대학교 역시 오라클이 ’17.10월 웹로직 취약점 해소를 위해 배포한 보안패치를 적용하지 않았다.

   * 경성대학교는 개인정보위 심의·의결 전 보안패치 적용을 완료함(’24.11.7.)

  이에 개인정보위는 경성대학교에 과징금 4,280만 원을 부과하면서, 개인정보 보호대책 전반을 정비하도록 개선권고하기로 하였다.

  이번 사건은 순천향대학교와 경성대학교 모두 개인정보처리시스템에 존재하는 웹로직 상 취약점을 6년 이상 개선하지 않고 방치함에 따라 동일한 해커에 의해 공격을 받은 것으로 추정되고 있다.

  대학은 학사정보 등 대량의 개인정보를 처리하고 있어 유출사고 우려가 크므로 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치와 관련된 의무 사항은 반드시 이행하는 것은 물론, 외부의 불법접근 시도에 대해서도 상시 모니터링하는 등 각별한 주의가 필요하다고 개인정보위는 당부했다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사총괄과 방선욱(02-2100-3106), 나일청(02-2100-3162)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”