<전승재 개인정보보호위원회 조사3팀장>
클라우드 분야 사전 실태점검 결과를 발표하겠습니다.

저희 개인정보위는 6월 11일 수요일 어제 전체회의를 열고 클라우드 서비스 제공사업자 3사에 대한 사전 실태점검 결과를 발표하였습니다.

3사란 아마존, 마이크로소프트, 네이버클라우드 3개의 기업입니다.

이번 실태점검은 클라우드를 기반으로 개인정보처리시스템을 운영하는 이용사업자들이 클라우드상 안전조치 기능 미비로 인해 개인정보보호법 위반 또는 개인정보 유출 위험에 노출되는 것을 선제적으로 예방하기 위해 진행되었습니다.

특히 이용사업자 가운데에는 대기업뿐만 아니라 중소기업이나 스타트업, 소상공인도 포함돼 있기 때문에 보안 인식 제고가 각별히 중요한 분야로 보였습니다.

점검 결과를 말씀드리겠습니다.

대상 클라우드 서비스들은 보호법상 필수 안전조치 기능 자체는 모두 제공을 하고 있었습니다. 다만, 일부 기능의 경우 이용사업자가 추가로 설정하거나 또는 별도 설루션을 유료로 구독해야 하는 경우도 있어서 이용사업자들에게 적극적인 안내가 필요해 보였습니다.

모든 안전조치 기능이 기본 탑재되기 어려운 이유는 저희가 점검을 한 클라우드 가상서버 그리고 클라우드 데이터베이스 등은 최종재가 아니라 중간재입니다. 이용사업자 임의대로 위에 응용 프로그램을 개발해서 사용하는 중간재이기 때문에 개인정보처리시스템으로도 활용될 수 있지만 그렇지 않은 일반적인 데이터 처리에도 활용되는 범용 서비스이기 때문에 개인정보 처리를 위한 안전조치 기능을 전부 기본 탑재하기에는 어려운 상황이었습니다.

그리하여 이용사업자가 클라우드를 개인정보처리시스템으로 써야 되는 경우에는 추가 설정을 하거나 또는 별도 설루션을 유료 구독해야만 하는 것입니다.

첫 번째 유형으로 기본 안전조치 설정 이외에 추가 설정이 필요한 기능에 대해서 말씀드리겠습니다.

보호법은 개인정보취급자에게 업무 수행에 필요한 최소한의 범위로 개인정보처리시스템의 접근권한을 차등 부여하고 접속계정을 공유하지 않을 것을 요구하고 있습니다.

이를 위해 필요한 하위계정 발급 기능과 접근권한 설정 기능은 점검 대상 클라우드 서비스들에서 모두 기본 제공되고 있었습니다. 다만, 이용사업자가 실제로 이 기능을 활용하려면 자사 담당자들로 하위계정을 발급하고 그 하위계정별 업무 범위에 따라서 접근권한을 각기 부여하는 조치를 추가로 해야만 합니다. 이런 조치는 이용사업자가 직접 해야만 하며, 클라우드 단계에서 기본 탑재하기 곤란한 유형입니다.

또한, 보호법은 개인정보취급자가 개인정보처리시스템에 접속할 수 있는 범위를 IP 주소 등으로 제한하고, 외부 인터넷에서 접속 시 아이디·비밀번호 이외에 2차 인증을 적용할 것을 요구하고 있습니다.

점검 대상 클라우드 서비스들은 IP 주소 대역 제한 기능을 기본으로 갖추고 있습니다. 다만, 이용사업자가 실제로 이 기능을 활용하려면 자사 환경에 맞게 허용할 IP 주소 대역 또는 제한할 IP 주소 대역을 추가로 설정을 해야만 합니다.

예컨대 이용사업자의 사업장이 위치한 곳에 IP 주소 대역을 허용할 대역으로 추가한다든가 하는 조치가 별도로 필요한 것입니다.

또한, 2차 인증의 경우에는 대개 기본 탑재되어 있었지만 또 일부 추가 설정이 필요한 지점이 있어서 이용사업자들의 주의를 요합니다.

두 번째, 별도 설루션 구독이 필요한 기능 유형에 대해서 말씀드리겠습니다.

보호법은 개인정보처리시스템에 관해서 개인정보취급자에게 접근권한을 부여한 기록을 3년간 보존할 것을 요구하고, 개인정보취급자가 접속한 기록을 1년 이상 또는 일정 규모 이상 처리자의 경우 2년 이상 보존할 것을 요구하고 있습니다.

이처럼 1년 또는 2년, 3년 보존해야 되는 접속기록은 평상시 또는 공격을 받을 시를 비롯해서 상시 분석을 해서 개인정보 유출 시도, 즉 이상행위를 탐지해야 합니다.

점검 대상 클라우드 서비스들은 기록 보존 기능 자체는 기본으로 제공하고 있었습니다만 로그 보존기간이 대략 10~90일 사이, 수십 일 수준으로 단기에 그치고 있었습니다.

이용사업자가 1년 또는 2년 또는 3년 보존 의무를 이행하기 위해서는 로그를 별도로 장기 보관하기 위해서 해당 기능을 자체 구현하고 필요한 스토리지를 별도 구매하거나 또는 클라우드 단계에서 제공되는 별도 기록 관리 설루션을 구독해야만 하는 상황입니다.

이상행위 탐지와 관련해서는 기본적인 탐지 기능을 기본 제공하는 클라우드 서비스도 일부 있었습니다만 실제 상용 보안 설루션 수준의 이상행위 탐지시스템은 대체로 별도 구독 설루션으로 제공되고 있었습니다.

그 이외에 암호 키 관리, 악성 프로그램 방지 등 설루션 등도 별도 보안 설루션으로 구독해야 하는 경우가 다수 있었습니다.

마지막으로 개선 권고 내용에 대해서 말씀드리겠습니다.

개인정보위는 클라우드사업자 3사를 대상으로 이들이 제공하는 안전조치 기능 중에서 추가 설정 또는 별도 설루션 구독이 필요한 기능의 존재와 설정방법을 개발문서 등을 통해서 이용사업자들에게 명확히 알릴 것을 개선 권고하였습니다.

한편, 점검 대상이 아닌 타 클라우드사업자와 또 이용사업자들을 대상으로 한국인터넷진흥원 등 전문기관과 함께 적극적으로 계도를 해나갈 계획입니다.

이번 실태점검과 후속 개선을 통해 클라우드를 사용하는 국내 다수 개인정보처리자들의 인식과 안전조치 보호 수준이 향상될 것으로 기대됩니다.

이상입니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 이 구독 서비스로써 보안 기능을 강화하는 것은 이게 개선 권고사항으로 제시하셨는데 솔직히 어떻게 보면 업체들 입장에서는 이게 상품으로서 활용될 수도 있는 부분인데 상품으로서 좀 더 진보된 기술을 의무적으로 서비스 이용자들에게 제공하라는 법적 근거 같은 게 있을까 궁금합니다.

<답변> (전승재 조사3팀장) 좋은 질문이십니다. 말씀드린 것처럼 저희가 점검 대상으로 삼았던 가상서버와 데이터베이스는 그 위에서 개인정보를 처리할 수도 있고 그렇지 않을 수도 있습니다. 개인정보를 처리하지 않는 시스템이라고 하면 오늘 언급한 보안 기능들이 사실 오버스펙이 되는 상황이기 때문에 오히려 그쪽을 기본 제공하면 끼워 팔기라든지 불필요한 비용 지출 이슈도 있을 수 있습니다. 그래서 별도 옵션으로 제공하는 것 자체는 당연히 적법하다고 보고 있습니다.

저희가 개선 권고를 한 대상은 개인정보를 처리하려는 이용사업자가, 특히 약간 개발 기술 전문성이 약간 부족한 소기업 등인 경우에는 클라우드 서비스를 이용하면 아주 높은 보안 수준이 보장될 것으로 자칫 기대를 할 수 있습니다만 개인정보 처리에 필요한 안전조치 기능들을 추가 구독하지 않으면 이른바 완전체가 될 수가 없다는 상황을 명확하게 인식할 필요가 있으니 그런 것을 명확하게 개발자 문서 등을 통해서 알리자, 라고 하는 게 이번 개선 권고의 취지가 되겠습니다.

<질문> 내용이 좀 어렵고 저희도 어려웠는데 결국은 개선 권고사항을 보면 사업자들은 괜찮고, 그러니까 여기서 말하는 이용사업자라는 용어는 저희가 보면 클라우드 CP들의 고객사로 보면 되는 거... 650개, 그게 기업이든 기관이든. 그렇죠? 그러니까 이용사업자는 저희가 CP들의 고객사들을, 고객사들은 개별로 몇 개 설루션을 구매해야 된다, 그런데 그걸 좀 알려라. 그러니까 CP, SP는 큰 잘못한 적은 없었다는 거죠? 결국은 개선 권고는.

<답변> (전승재 조사3팀장) 네, 맞습니다.

<질문> 그렇죠. 그다음에 저희 2페이지 보면 노란색으로 처리한 것 있잖아요. 여기 보면 다섯 가지가 있는데, 그러니까 이 사항들이 지금 CSP를 부족한 부분을 해놓으신 거죠? 이거는. 그러니까 예를 들어서 2차 인증을 보면 'AWS나 네이버 같은 경우 관리자 외 계정에 대해서는 추가 설정이 필요하다.' 이거는 추가 설정이 필요하다고 지적하신 게 AWS나 네이버 같은 CSP가 이렇게 해야 된다는 건가요? 아니면 고객사들이 이렇게 해줘야 된다는 건가요?

<답변> (전승재 조사3팀장) 추가 설정의 주체는 고객사입니다. 이용사업자입니다.

<질문> 그럼 마찬가지 이 박스 안에 있는 것들은 다 CSP들은 그냥 할 건 다 하고 있었고 고객사들이 해야 되는 사항의 일인 건가요, 그럼?

<답변> (전승재 조사3팀장) 맞습니다. CSP들은 그러니까 아까 말씀드린 것처럼 이게 중간재기 때문에 그러니까 가상서버, 데이터베이스 같은 중간재를 만들어 놓고 이 위에서 실제 개인정보가 처리되는 응용 프로그램은 이용사업자들이 구축하는 환경에서 CSP들은 필요한 데이터베이스에 꼭 필요한 보안 기능을 제공하면 법 위반은 아닌 것이고요.

다만, 그 보안 기능이 기본으로 적용돼 있을 수도 있고 성질상 이용사업자의 별도 설정, 하위계정 생성 행위 같은 이용사업자의 별도 설정이 반드시 필요한 기능도 있을 수가 있습니다. 또 경우에 따라서는 별도 설정과 더해서 유료 기능으로 제공되는 보안 기능도 있고요.

그런 것들을 실제로 설정하고 구독할 주체는 이용사업자가 맞습니다. 그런데 저희가 개선 권고하는 거는 CSP들한테 그걸 이용사업자들이 필요성을 인지하고 설정 또는 구독을 할 수 있도록 잘 알리자, 라는 게 개선 권고 취지이고, 그 개선 권고 이행을 이용사업자들이 물론 자발적으로, 기본적으로 합니다마는 저희 산하기관이자 전문기관인 한국인터넷진흥원도 그 작업을 지원해서 기술안내서 발간이라든가 하는 작업을 향후 할 계획에 있습니다.

<질문> ***

<답변> (전승재 조사3팀장) 조금 더 예시를 들어서 설명을 해드리겠습니다. 예를 들어서 윈도우 OS를 깔면 기본적인 마이크로소프트 디펜더 같은 기본적인 악성프로그램 탐지 툴이 OS에 내장돼서 나옵니다. 그런 거는 클라우드, 윈도우 가상서버를 구독을 해도 당연히 기본 제공이 되는 서비스입니다.

그런데 이용사업자가 윈도우든 리눅스든 상용 서버를 자체 구축한다고 생각을 하면 OS에서 기본 제공하는 거 이상의 악성 프로그램 방지 툴은 사실 대부분 상용이고 유상으로 구매를 해야 되는 것인데 클라우드 환경에서도 똑같다는 겁니다.

이 클라우드 환경은 가상기계만 제공할 뿐인 것이고, 이 위에 들어가는 악성 프로그램 탐지 툴은 자체 서버 구축 시와 마찬가지로 공짜가 아니다, 별도로 구매를 해서 써야 되는 상황이다, 라고 저희가 확인을 한 겁니다.

그런데 아까도 말씀드렸듯이 이게 기능이 어쨌든 유상으로든 무상으로든 제공만 되면 저희는 위법하지는 않다, 라고 판단한 이유는 이게 이 클라우드들은 개인정보 처리만을 위해서 존재하는 건 아니거든요. 개인정보가 아니라 다른 일반적인 데이터도 처리할 수 있는 시스템이기 때문에 어떤 형태로든 기능이 제공되면 위법은 아니다, 라고 보고 있습니다.

<질문> 안녕하세요? 클라우드사업자가 어쨌든 이용사업자한테 명확히 알리지 않아서 개선 권고를 하신 거로 제가 해석이 되는데요. 보면 거꾸로 이용사업자들이 이 사업자 서비스만 이용하면 보호법도 준수할 수 있다고 오인할 수 있었던 부분도 있었는지도 궁금합니다.

<답변> (전승재 조사3팀장) 후자의 오인 가능성은 충분히 있다고 보입니다. 왜냐하면 이게 클라우드를 제공하는 기업들이 다 대기업이기 때문에 이 서비스를 구독만 하면 대기업 수준의 보안이 제공될 것이다, 라고 기대는 충분히 할 수 있고요.

고지와 관련해서는 사실 이용사업자들은 사실은 충분한 고지를 하고 있습니다. 그런데 뭐가 문제냐 하면 이 개발자 문서라는 게 굉장히 방대합니다. 이게 제공되는 기능이 굉장히 방대하기 때문에 예를 들어 데이터베이스의 매뉴얼이라고 하면 엄청나게 방대한 문서 안에 각각 안전조치 설정방법이 어딘가는 들어 있는데, 클라우드를 이용하는 기업이 IT 전문성이 높은 기업이라면 그거를 당연히 보고 챙길 수 있는 상황이지만 전문성이 좀 낮은 비IT 기업이거나 소기업의 경우에는 그런 걸 일일이 챙기기가 조금 어려워 보이는 상황이어서 그래서 저희가 한국인터넷진흥원 등과 협업을 해서 별도의 기술안내서를 발간할 계획을 갖고 있습니다.

<질문> CSP들이 많은데 이렇게 3사만, 물론 메이저여서 했을 것 같은데요. 혹시 3사만 한 이유나 아니면 다른 CSP들 조사계획이라든가 있으실까요?

<답변> (전승재 조사3팀장) 그 부분도 대단히 심오한 질문이신데요. 클라우드가 아시다시피 종류가 굉장히 다양합니다. 엄청나게 많은 서비스들이 클라우드 형식으로 제공이 돼 있는데 일단 저희는 클라우드 중에서 가장 기본 기능이라고 생각이 되는 가상서버와 데이터베이스, 이 2개만 가지고 점검을 했고 이 두 서비스가 가장 널리 쓰이고 있는 3개의 서비스를 선정했습니다.

근데 다... 이 가상머신과 데이터베이스 이외에 다른 서비스까지 넓히면 이 세 기업 이외에도 다른 대체 제공 기업이 굉장히 많아지는데 일단 저희는 제일 기본 기능만 점검했다고 이해해 주시면 될 것 같습니다.


<강대현 개인정보보호위원회 조사총괄과장>
브리핑하겠습니다.

위원회는 전체회의에서 전북대학교와 이화여자대학교에 대하여 총 9억 6,600만 원의 과징금 및 540만 원의 과태료를 부과하고 시정명령, 공표명령·징계권고를 하기로 의결하였습니다.

세부 내용으로는 개인정보 유출에 따른 피해 규모 등을 고려하여 전북대학교에 6억 2,300만 원, 이화여자대학교에 3억 4,300만 원의 과징금이 부과되었습니다.

위원회는 개인정보 유출 신고에 따라 조사한 결과 이들 대학의 학사정보시스템이 구축 당시부터 취약점이 존재하였고, 일과시간 외 야간·주말 등에 대한 외부의 불법 접근을 탐지하는 모니터링 등이 체계적으로 이루어지지 않은 등 개인정보보호법에 따른 안전조치 의무를 소홀히 한 사실을 확인하였습니다.

세부 내용을 설명드리도록 하겠습니다.

먼저, 전북대학교입니다.

2024년 7월 28일부터 양일간 해커가 에스큐엘 인젝션 방식 및 파라미터 변조 공격을 통해서 전북대학교의 학사관리시스템에 침입하여 32만 건의, 개인정보, 주민등록번호 28만 건을 포함한 수치입니다, 건을 탈취하였습니다.

참고로 32만 건은 관련 개인정보 보유량 전체를 해킹을 통해서 유출된 사항입니다.

개인정보위원회 조사 결과 해커는 학사행정시스템의 비밀번호 찾기 취약... 존재하는 취약점을 확인해서 학번 번호로 유효한, 학번 번호 모두 추출한 후에 학사정보 조회 페이지 등에 접속하여 90만 건 정도의 파라미터 변조 및 무작위 대입을 통해서 해당 개인정보를 추출한 것으로 파악되었습니다. 참고로 해당 취약점은 시스템 구축 당시인 2010년 12월부터 계속적으로 존재하였습니다.

아울러, 전북대학교는 기본적인 보안장비는 갖추고 있었지만 외부 공격에 대한 대응이 미흡해서, 특히 일과시간 외에 대한 모니터링을 소홀히 한 결과 주말·야간 등에 발생한 비정상적인 트래픽 급증 현상을 일과시간인 7월 29일 오후에서나 뒤늦게 인지하고 차단하였습니다.

이에 따라 개인정보위원회는 전북대학교에 6억 2,300만 원의 과징금과 540만 원의 과태료를 부과하였으며, 대학 홈페이지에 공표하도록 하는 한편, 모의해킹 등 취약점 점검을 강화하고 상시 모니터링체계를 구축하도록 시정명령과 책임자에 대한 징계도 권고하였습니다.

이화여자대학교입니다.

2024년 9월 2일부터 양 일간 해커가 시스템의 데이터베이스 조회 기능의 취약점을 이용한 파라미터 변조 공격을 진행하였고 이화여자대학교 통합행정시스템에 침입하여 약 8만 3,000명의 주민등록번호를 포함한 개인정보를 탈취하였습니다.

조사 결과 해커는 통합행정시스템에 접근하여 약 10만여 회의 파라미터 변조, 무차별 대입을... 무작위 대입을 통해서 학부생 및 학부 졸업생 8만 3,000명의 개인정보를 탈취한 것으로 나타났습니다.

또 이화여자대학교 역시 이러한 취약점이 2015년 11월 시스템 구축 당시부터 그대로 장기간 방치되었고, 기본적인 보안체계는 갖추고 있었지만 특히 일과시간 외의 주·야간 모니터링체계 등을 소홀히 하는 등 외부의 불법적인 접근 통제가 미흡한 것으로 역시 확인되었습니다.

이에 따라 이화여자대학교에 3억 4,300만 원의 과징금과 앞서 전북대와 같이 공표명령, 또 취약점에 대한 모니터링 등 시정명령과 책임자에 대한 징계도 동일하게 부과하였습니다.

이번 조사 처분의 의미에 대해 설명드리도록 하겠습니다.

대학의 경우에는 대개 생성규칙이 단순한 학번 등을 기준으로 해서 개인정보를 관리하고 있습니다. 따라서 파라미터 변조 공격에 취약한 측면이 있고 대규모 고유식별 번호를 처리하고 있음에도 유출 사고 발생 시에 정보주체에 대한 막대한 피해가 예상됩니다.

이에 따라 파라미터 변조 공격에 대비하고 외부의 불법적인 접근 시도를 24시간 철저하게 모니터링하는 등 각별한 주의체계가 필요한 상태입니다.

참고로 개인정보위원회는 최근 대학에서 개인정보 유출 사고가 잇따라 발생하고 있는 점을 감안하여 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리를 철저하게 해주도록 전파할 것과 관련 내용을 대학 평가 등에 반영하는 등 강화된 개인정보 보호조치를 검토해 줄 것을 요청할 예정입니다.

참고로 작년부터 올해 2025년 5월부터 전국 대학교에서 신고된 개인정보 유출 건수는 총 21건이 되겠습니다.

이상 브리핑을 마치도록 하겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 자료에 보면 전북대는 2010년부터 그리고 이대는 2015년부터 취약점이 존재했다고 나와 있는데요. 그럼 이런 취약점을 대학 측은 인지하고 있었는지, 혹은 작년에 사고가 발생하기 전에 다른 사고가 발생했었을 정황이 나타난 건 없는지 궁금합니다.

<답변> (강대현 조사총괄과장) 아까 말씀드린 것처럼 통상적인 수준에서 과정이 이루어졌지만 취약점을 파악하지 못하고 저희가 해킹 사고가 발생한 이후에야 취약점을 보완하고 시정하였습니다.

<질문> 파라미터 변조 공격과 인젝션 공격 이게 정확하게 어떤 건지, 그러니까 학번은 사실 대개 입학 연도 플러스 숫자 몇 자리 되게 간단하잖아요. 그래서 그 구성 원리를 파악한 다음에 그 뒤에 비밀번호를 이 오아시스 2.0이라는 곳이 주민번호 뒷자리를 썼다는 내용도 있던데, 인터넷에 보면. 그럼 이 주민번호 뒷자리를 무작위로 90만 개 입력했다는 건지 좀 더 설명을 해주실 수 있을까요?

<답변> (강대현 조사총괄과장) 용어가 간단하게 쓰여서 상세히 설명드리도록 하겠습니다. 여기 그림 보시면 학사행정시스템에 비밀번호 찾기란, 통상적으로 보면 비밀번호를 누구나 다 잊어버릴 수 있기 때문에 비밀번호 찾기란 기능을 만들어 놓습니다.

그런데 SQL 인젝션이란 방식을 통해서 데이터베이스에 임의로 명령어를 집어넣으면 데이터베이스에 사실은 데이터가 추출되지 않도록 조치를 취했어야 되는데 특정 주문, 그러니까 이건 기술적인 명령으로 데이터베이스에 명령어를 주입했을 때 데이터베이스에 개인정보를 추출할 수 있는 SQL 인젝션 방식으로 공격이 이루어지면 원래 그거를 막았어야 되는데 비밀번호 찾기 조회를 하는 기능에서 데이터베이스에 특정한 명령어를 주입하면 학번이 다 추출되도록 하는 취약점이 존재했던 겁니다.

그래서 통상적으로 하면 비밀번호 찾기 정도만 기능이 열렸어야 되는데 거기서 취약점이 그대로 남아 있어서 해커가 특정한 명령어를 주입하면 그 데이터베이스에서 전북대학교의 모든 학번이 다 일괄로 추출돼서, 학번이 추출됐으면 사실은 파라미터 변조 공격을 막았으면 학번만 가지고는 개인정보 유출이 안 됐어야 되는데 특정한 학사정보시스템에 접근해서 거기서 특정 개인의 학사 정보를 조회할 순 있을 수 있습니다.

왜냐하면 패스워드 같은 게 유출됐다거나 이런 식으로, 1명은 확인할 수 있지만 그다음 학번을 위에 바꾸면 다른 학번은 보이지 않아야 되는데 파라미터 변조라는 거는 주민등록번호나 또는 학번 같이 특정 패턴이 있기 때문에 패턴을 바꾸면 그다음 이용자 정보가 그대로 불러지는, 예를 들어서 제가 제 개인정보를 조회하기 위해서 어떤 사이트에 들어가서 제 것만 봐야 되는데 제 번호가, 제 이용자 번호가 예를 들어서 0002로 돼 있다. 그러면 0002로 위에 URL을 바꾸면 다른 사람 정보가 불러오지 않아야 되는데, 그걸 자동으로 차단시켜줘야 되거든요, 유효한 값이 아니니까. 그런데 파라미터 변조에 취약점이 있으면 그 사람이 로그인하지 않아도, 2번이 로그인하지 않아도 1번이 로그인해 놓고 2번으로 바꾸면 2번 정보가 보여지고 3번 정보가 보여지는, 이게 쉽게 말하면 파라미터 변조 취약점이라서 학번을 다 들고 가서, 물론 학번도 유추가 쉽습니다.

이대 같은 경우는 학번을 들고 확인하지 않고 학번을 유추해서 학번을 바꿔 보니까 다 보였던 케이스예요. 보통 학번이라는 게 앞에 특정번호와 뒤에 숫자로 이루어지기 때문에 보통 앞의 같은 경우는 보통 입학 연도로 보통 이루어졌기 때문에 유추가 쉽습니다.

그런데 전북대는 아예 그냥 학번을 통으로 들고 가서 취약점을, 파라미터 변조 취약점이 있는 걸 확인하고 학번을 바꿔 가니까 그 학번에 해당되는 개인정보가 그대로 다 보였던 거고요.

보통 이런 경우는 마스킹 처리를 한다거나 이렇게 했으면 보이지 않았을 수 있을 텐데 그런 조치도 안 돼 있었기 때문에 SQL 인젝션을 통해서 학번을 다 확인하고 이용자... 학생 정보 조회하는 홈페이지에 있는 취약점, 파라미터 변조 취약점을 그대로 확인해서 학번을 바꿔 가면서 그 학번에 해당되는 개인정보를 그대로 다 들고 갔습니다.

그래서 여기 탐지가 더 늦어졌기 때문에 전북대 같은 경우는 보유하고 있는 개인정보 100%가 다 유출된 상태로, 주민등록번호도 28만 건 포함해서, 저희가 각주로 처리하기는 했지만 학생들 외에 1997년, 2001년 당시까지는 사업을 하면서, 특정 사업을 하면서 학부모들의 개인정보를 수집한 적이 있었는데 주민등록번호를, 주민등록번호 법정주의가 시작된 이후에 파기했어야 되는데 그 정보를 파기하지 않고 갖고 있었기 때문에 그에 따른 과태료가 추가로 또 부과된 적은 있습니다.

그래서 공격 방식은 되게 심플합니다. 아주 기본적이고 기초적인 공격입니다. 데이터베이스에 접근하기 위한 명령어를 주입해서 데이터베이스에서 특정 정보를 추측하지 못하도록 막는 SQL 인젝션 방식이라 당연히 방어가 돼야 되고요.

파라미터 변조 같은 경우는 한 번 열려 있으면 한 명... 한두 명의 개인정보를 갖고 접근해서 특정 매개변수를 바꿔 가면서 모든, 거의 사람의 정보를 추출할 수 있기 때문에 아주 기초적인 지금 보안 조치가 제대로 이루어지지 않았던 패턴이고요.

이대 같은 경우는 조금 패턴은 다르지만 3페이지 그림 보시면 데이터베이스에 접근할 수 있는 외부 경로가 열려 있었습니다. 쉽게 말하면 데이터베이스에 접근하지 못하게 막아야 되는데 데이터베이스에 접근해서 이용자 정보를 취득할 수 있는 경로가 외부에 오픈돼 있었기 때문에 해커가 그 경로를 찾아내서 그대로 들어갔... 접근했고요. 데이터베이스에서 이용자 정보를 불러올 수 있는 정보에 접근했고 거기서 학번을 유추를 해서 학번을 바꿔 가면서 개인정보를 불러들여서 가져갔던 케이스입니다.

<질문> 조사총괄과장님이셔서 여쭤보는 건데 사실 이번 브리핑 안건과는 관련이 없긴 한데요. 랜섬웨어 공격받은 YES24 관련해서 문의드리고 싶은데, 그 조사를 하고 계시다고 제가 자료를 엊그저께 쓴 것 같은데 현재 조사 현황에 대해서 궁금하거든요. 그래서 개인정보 유출이 됐는지 확인됐는지,

<답변> (강대현 조사총괄과장) 어제 저희가 참고자료인가요? 어제 배포한 것 같아서, 어제 자 해준 거로 참고하시면 될 것 같습니다.

<답변> (사회자) 그 부분은 제가 말씀을 드리면 어제 조사에 들어갔고 딱 그 내용까지입니다. 어제 보내드린 내용이 저희가 신고받은 내용이거든요. 그 내용 외에는 저희가 어제 시작했기 때문에 사실은 지금 단계에서는 말씀드릴 수 있는 부분은 없을 것 같아요.

<답변> (강대현 조사총괄과장) 맞습니다. 유출 신고가 들어와서 조사에 착수했다, 이 내용입니다.

<질문> 안녕하세요? 일단 양 대학이 지금 암호화가 안 돼 있었던 거죠?

<답변> (강대현 조사총괄과장) 그렇지는 않고요. 데이터베이스 자체에 주민등록번호가 암호화돼 있습니다. 그것도 위반했으면 그거 자체도 또 처벌이 나가는데, 보통 아시지만 이용자... 제가 만약 로그인해서 제 정보를 불러오면 제 정보 이렇게 쭉 보이잖아요. 그러니까 DB에는 암호화돼 있어도 이용자가 자기 이용자 페이지, 웹사이트에서 조회할 때는 그 정보가 암호가 풀려서 조회되는 방식으로 조회가 될 수 있습니다.

그러니까 해커는 DB 자체를 털었다기보다는 데이터베이스에 접근해서 이용자를 불러오는 방식으로 이용자를 불러온 다음에 파라미터 변조 방식으로 이용자 넘버를 한 명, 한 명 바꿔 가면서 마치 자기가 접속한 것처럼, 학생 개개인이 접속한 것처럼 불러들여서 그 정보를 빼가는 방식을 취한 겁니다.

만약 DB를 한 번에 들어갔으면 이렇게 파라미터 변조 방식이 아니고 데이터베이스에서 그대로 개인정보를 해킹하는 방식을 취한 거고 이거는 데이터베이스에서 이용자 정보로 조회하는 방식을 취해서 이용자 정보를 하나하나 불러들여서 그 정보를 가져갔기 때문에 주민등록번호 암호화 위반 자체는 아닙니다.

근데 주민등록번호가 자기가 조회할 때는 보일 수는 있기 때문에, 확인하기 위해서. 그런 방식으로 했기 때문에 다른 위반사항이 발생한 겁니다, 이거는.

<질문> 혹시 양 대학은 ISMS 인증을 받은 적이 있을까요? 그리고 이게 보안 설루션을 탑재하고 있었음에도 이런 조치... 이렇게 털렸다고 이야기가 나왔는데,

<답변> (강대현 조사총괄과장) ISMS-P를 물어보신 건 아니고 ISMS를 말씀하신 건가요?

<질문> 둘 다... 둘 중의 하나라도요.

<답변> (강대현 조사총괄과장) ISMS-P는 없고 ISMS는 받은 걸로...

<질문> 둘 다 받았다는 거죠? 두 대학 모두.

<답변> (강대현 조사총괄과장) ISMS-P는 없고요. P는 없고 ISMS는 둘 다. 제가 이거는 일정 규모 이상 대학은 ISMS를 받는 게 의무화돼 있기 때문에 받은 걸로 알고 있습니다.

<질문> 그럼 ISMS도 받았고 보안 설루션도 기본적인 건 탑재가 돼 있는데 어떻게 이런 기초적인 공격에 당할 수 있었는지도 궁금하고요.

그리고 야간·주말에 모니터링이 이루어지지 않은 대학들만의 특수적인 배경이 있는지도 궁금하고, 이게 이 모든 것들이 대학들의 공통점이라면 주요 대상, 주요 대학 대상으로 실태점검이 필요하다고도 보이는데 그걸 진행하실 계획이 있는지도 궁금하고요.

그리고 마지막으로 YES24 관련해서는 당초 YES24는 개인정보 유출이 없다고 얘기를 했는데 왜 갑자기 늦게나마 개인정보 유출에 대해서 신고를 한 건지 그 경위도 궁금합니다.

<답변> (강대현 조사총괄과장) YES24는 저희가 어제 밝힌 이후의 추가적인 사항은 해당 부서 통해서, 대변인실 통해서 안내해 드리도록 하겠습니다.

대학들 같은 경우는 거꾸로 말씀드리면 원래는 기본적인 탐지체계가 갖춰져 있다 할지라도 자기네 데이터 트래픽에 맞는 보안 수준을 설정하고 특정 이상징후가 발생하면 경보를 담당자한테 통지한다거나 차단하는 체계가 갖춰져야 이 체계를 막을 수 있는데 장비만 구축했을 뿐이지 데이터값을, 쉽게 말해서 대학 특성에 맞게 보안체계를 운영하는 그런 노하우나 전문 인력이 현재 부족한 것은 맞습니다.

아마 다른 대학들도 비슷한 특성일 거로 저희가 예상은 되고요. 지적하신 것과 같이 전북대·이대 같은 경우는 재학... 재적 규모가 2만 명이 넘는 상당히 대규모 대학임에도 이런 실제적인 체계적인 보안이나 개인정보 보호체계를 운영하는 데 미비점이 있다는 것들이 확인됐기 때문에, 저희가 앞서 말씀드린 대로 이 대학 외에도 유출 신고가 들어와서 저희가 조사나 확인해 본 대학들이 21개가 지금 되고 있기 때문에 저희가 혼자 이거를 개개... 한정된 인력으로 실태조사를 현재 하고 있는 것만으로도 상당히 지금 시간이 모자라서 긴급하게 교육부에다가 대학들에 대한 어떤 체계를 점검해 주고 실질적으로 예산과 재정, 이런 투입될 수 있는 체계를 갖춰줄 것을 저희가 요청드리는 겁니다.

왜냐하면 실태점검을 하더라도 저희가 하려고 동원해서 해도 현재 들어와 있는 조사 건을 소화해 내는 것조차도 사실은 시간이 빠듯하기 때문에 이런 상태로 저희가 조사나 실태점검을 한다 하더라도 남아 있는 대학들이 문제가 되는 거를 사실상 더 맡기에는 시간이 모자란 측면이 있어서 정책적으로 교육당국과 함께 체계적인 접근, 개선체계에 실제로 대학들이 관심을 갖고 거기에 예산과 인력을 투입할 수 있도록, 참고로 전북대 같은 경우도 해킹 사고 이후에 예산을 새로 체계를 세워서 시스템을 재구축하고 인력을 채용하는 과정을 진행하고 있거든요.

사실 사후약방문 격이 됐기 때문에 그런 건데 사전에 이런 체계가 될 수 있도록 평가체계라든가 관리·감독체계를 바꿔 줄 것을 협의를 하고 요청할 생각입니다.

<질문> 시스템 구축 때부터 취약점이 있었다고 그랬는데 그러면 구축하고 나서 두 대학 모두 보완이나 업데이트 같은 거를 한 번도 안 했던 것인지, 그리고 이번 유출로 인해서 개인정보 악용된 사례가 있을까, 다크 웹이나 이런 흘러들어간 정황 같은 것.

<답변> (강대현 조사총괄과장) 시스템 업데이트 자체는 아마 중간 중간에 저희가 확인을 못 했는데 있었을 것 같아요. 그런데 취약점 자체를 그때 발견하거나 해소하진 못한 것 같습니다. 아직까지는 저희가 구체적인 그런 2차 피해 내용은 확인되지 않았는데요. 다만, 전북대 같은 경우는 분쟁조정위원회에 약 100여 건 정도의 분쟁조정 신청이 현재 계류돼 있습니다.

<질문> 마지막에 21건 이거는 이대와 전북대 포함해서 21건인가요?

<답변> (강대현 조사총괄과장) 네, 맞습니다.

<질문> 그리고 제가 아까 설명 맞게 이해했는지 모르겠는데, 그럼 어쨌든 파라미터값을 바꿔가면서 계속 다른 사람의 정보 조회했다는 거 알겠는데 그럼 최초 1회는 어떻게 뚫린 건지.

<답변> (강대현 조사총괄과장) 조사 결과 이 과정 자체는 정확히 확인되진 않았는데 패스워드를 넣어서 추출했든가 접근할 수 있는 경로를 획득한 걸로 저희가 추정하고 있습니다.

<질문> (온라인 질의 대독) 그럼 이번에는 문자로 들어온 질의를 제가 대독하겠습니다. 개인정보위원회가, 개인정보위가 개인정보 유출 이유로 대학에 과징금을 부과한 사례가 이번이 처음인지, 이전에도 있었다면 이번이 몇 번째인지 질문을 드립니다, 라고 세계일보의 기자가 질문했습니다.

<답변> (강대현 조사총괄과장) 개정법을 적용한, 개인정보보호법이 개정됐죠. 개정돼서 과징금이 공공기관에 5억에서 20억으로 개정된 그 사항을 기준으로 말씀드리면 작년에 11월에 순천향대학교하고 경성대학교가 개인정보보호법 위반으로 처분을 받았었고요. 순천향대학교 같은 경우는 1억 5,000... 1억 9,300만 원. 제가 옆에 쪽지를 적어 둬서, 1억 9,300만 원 종전에 과징금 부과 처리된 적 있습니다.

<답변> (사회자) 그럼 이상으로 금일 브리핑을 마치도록 하겠습니다. 감사합니다.

<끝>

이전다음기사

다음기사외교부 대변인 정례브리핑