개인정보위, 순천향대·경성대에 과징금…6년 동안 보안 취약점 방치

등록 2024.11.14 12:00:00

총 2억3580만원 과징금과 660만원 과태료 부과

보안 프로그램 업데이트 등 기본적 안전조치 이행 당부

[서울=뉴시스] 정병혁 기자 = 고학수 개인정보보호위원회 위원장이 23일 오후 서울 종로구 정부서울청사에서 열린 2024년 제17회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다.(사진=개인정보보호위원회 제공) 2024.10.23. photo@newsis.com *재판매 및 DB 금지

[서울=뉴시스] 정병혁 기자 = 고학수 개인정보보호위원회 위원장이 23일 오후 서울 종로구 정부서울청사에서 열린 2024년 제17회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다.(사진=개인정보보호위원회 제공) 2024.10.23. [email protected] *재판매 및 DB 금지

[서울=뉴시스]송혜리 기자 = 이미 알려진 시스템 보안 취약점을 개선하지 하고 그대로 방치하다 학생·교직원 개인정보가 유출된 순천향대학교와 경성대학교가 과징금 처분을 받았다.

개인정보보호위원회는 개인정보보호 법규를 위반한 이들 학교에 대해 총 2억3580만원의 과징금과 660만원의 과태료를 부과한다고 14일 밝혔다.

순천향대학교는 과징금 1억9300만원과 과태료 660만원, 시정명령, 개선권고를 처분 받았고 경성대학교는 과징금 4280만원, 개선권고 제재를 받았다.

2017년에 나온 보안 패치 적용 안해…500명 개인정보 유출

순천향대학교는 학교 홈페이지의 웹로직 취약점을 악용한 해커에 의해 개인정보가 유출됐다. 웹로직은 오라클에서 제공하는 자바 기반 애플리케이션 서버다.

해커는 대표 홈페이지 내부 저장공간에 악성파일(웹셸)을 설치해 개인정보를 탈취한 후, 이를 소셜네트워크서비스(SNS)에 유포했다. 해커가 공개한 파일을 분석한 결과 학생·교직원 500여명(2000여건) 이상의 이름·학과·학번·주소·연락처·소속·사번 등이 유출된 것으로 확인됐다. 여기에는 20명 이상의 주민등록번호도 포함됐다.

조사 결과, 순천향대는 오라클이 2017년 10월 웹로직 취약점 해소를 위해 배포한 보안패치를 현재까지 적용하지 않았다. 또 순천향대는 사용 중이던 방화벽(UTM)에 포함된 웹방화벽(WAF)과 침입방지시스템(IPS)을 설정하지 않았고, 위협이 발생했을 때 감지하는 침입방지시스템(IDS)도 별도로 설치하지 않아 보안이 취약했다.

아울러 주민등록번호가 포함된 강사채용 관련 증빙자료를 내부 저장공간에 보관하면서 암호화 조치를 하지 않은 사실도 밝혀졌다.

이에 개인정보위는 순천향대에 과징금과 과태료를 부과하고 IPS·IDS 설치·운영, 오라클 보안패치 적용, 내부 저장공간에 주민등록번호가 포함된 증빙자료 보관 시 암호화 등 시정조치를 명령하는 동시에 개인정보 보호대책 전반을 정비하도록 개선권고했다.

경성대도 개인정보 유출…동일범 추정

경성대학교도 순천향대와 동일한 방법으로 교내 종합정보시스템(경성포털)이 해킹 공격을 받아 개인정보가 유출됐다.

해커는 탈취한 개인정보를 SNS에 유포했다. 해커가 공개한 파일을 분석한 결과, 학생 2000여명(4000여건)의 이름, 학과, 학번, 휴대전화번호가 유출된 것으로 확인됐다.

조사 결과 경성대 역시 오라클이 웹로직 취약점 해소를 위해 배포한 보안패치를 적용하지 않았다. 이에 개인정보위는 경성대에 과징금을 부과하면서, 개인정보 보호대책 전반을 정비하도록 개선권고하기로 했다.

이번 사건은 순천향대와 경성대 모두 개인정보처리시스템에 존재하는 웹로직 상 취약점을 6년 이상 개선하지 않고 방치함에 따라 동일한 해커에 의해 공격을 받은 것으로 추정되고 있다.

개인정보위는 "대학은 학사정보 등 대량의 개인정보를 처리하고 있어 유출사고 우려가 크므로 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치와 관련된 의무 사항은 반드시 이행해야 한다"면서 "외부의 불법접근 시도에 대해서도 상시 모니터링하는 등 각별한 주의가 필요하다"고 당부했다.

◎공감언론 뉴시스 [email protected]