개인정보보호위원회(개인정보위)가 11일 제13회 전체회의를 열고, 개인정보 보호법을 위반한 5개 기관에 대해 총 10억 원이 넘는 과징금과 과태료를 부과하고, 시정명령 및 결과 공표를 의결했다. 

대상은 신규 서비스 보안관리 소홀과 웹 취약점 대응 미흡으로 개인정보가 유출된 3개 민간 사업자와, 학사정보시스템 보안취약점 방치로 대규모 개인정보 유출 사고가 발생한 2개 대학이다.

머크·디알플러스·온플랫, 신규 서비스 및 웹 취약점 방치로 개인정보 유출

먼저 머크는 의약품 투약기록 관리 등 신규 서비스 출시 과정에서 보안 취약점 점검을 소홀히 하여 시스템 오류로 최대 108명의 개인정보가 유출됐다. 신규 서비스 접속 이용자 정보가 중복 노출되는 문제가 있었으며, 유출 사실 통지 역시 법정 기한(24시간)보다 늦어진 것으로 확인돼 과징금 8천만 원과 과태료 600만 원이 부과됐다.

온라인 결제대행업체 온플랫과 중고차 매매 중개 서비스 디알플러스는 동일한 SQL 삽입 공격으로 각각 최소 80명, 98명의 결제내역 등 개인정보가 유출됐다. 

조사 결과 온플랫은 입력값 검증 미흡, 두 업체 모두 개인정보처리 시스템에 아이디·비밀번호 외 추가 인증수단 미적용, 접속기록 미보관 등의 위반사항이 확인됐다. 특히 디알플러스는 주민등록번호 및 계좌번호를 암호화하지 않고 저장했으며 유출 신고·통지 지연도 있었다. 

이에 디알플러스에는 과징금 3천242만 원과 과태료 840만 원, 온플랫에는 시정명령과 공표 명령이 내려졌다.

개인정보위는 “신규 서비스 출시 전 반드시 보안 취약점 점검을 철저히 하고, SQL 삽입과 같은 널리 알려진 웹 취약점에 대한 지속적 주의와 보안조치가 필요하다”고 강조했다.

전북대·이화여대, 학사정보시스템 취약점 악용 대규모 개인정보 유출

전북대학교와 이화여자대학교는 각각 32만여 명, 8만 3천여 명 규모의 개인정보 유출 사고가 발생해 총 9억 6천만 원의 과징금(전북대 6억2300만 원/이화여대 3억4300만 원)과 과태료(전북대 540만 원), 시정명령, 공표명령 및 책임자 징계 권고 조치를 받았다.

전북대 학사행정시스템은 2010년 구축 당시부터 존재한 취약점을 해커가 SQL 인젝션 및 파라미터 변조 공격으로 악용, 7월 말 약 90만 회의 무작위 공격 끝에 32만여 명의 주민등록번호 등 개인정보를 탈취당했다. 

특히 일과시간 외 주말과 야간에는 외부 비정상적 트래픽에 대한 모니터링이 미흡해 사고 대응이 늦어진 점도 드러났다. 또한, 법정 수집 기간이 지난 주민등록번호 233건을 계속 보유한 점도 확인됐다.

이화여대 통합행정시스템도 2015년 구축 당시부터 파라미터 변조 취약점을 갖고 있었으며, 해커는 9월 초 약 10만 회 공격을 통해 8만 3천여 명의 개인정보를 빼내갔다. 이화여대 역시 기본적인 보안장비는 갖추었으나 외부 불법 접근에 대한 주말‧야간 모니터링이 부족했다.

개인정보위는 양 대학에 모의해킹 등 취약점 점검 강화와 24시간 상시 모니터링 체계 구축 시정명령을 내리고, 책임자에 대한 징계도 권고했다. 아울러 대학들이 개인정보 관리 강화를 위해 교육부에 관련 내용을 전국 대학 학사정보시스템 관리 강화 및 대학 평가 반영 검토를 요청할 예정이다.

전문가 “개인정보 보호, 사전 취약점 점검과 실시간 모니터링 필수”

이번 조치는 신규 서비스 보안 취약점과 오래된 시스템 취약점을 방치할 경우 대규모 개인정보 유출로 이어질 수 있음을 경고하는 계기가 됐다. 

개인정보위는 “서비스 출시에 앞서 취약점 점검을 철저히 하고, SQL 삽입 공격과 같은 널리 알려진 해킹 수법에 대비한 보안조치를 지속해야 한다”며, “특히 대학 등 대규모 개인정보를 다루는 기관은 24시간 유출 탐지 및 차단 체계를 갖춰야 한다”고 강조했다.

최근 1년간 전국 대학에서만 21건의 개인정보 유출 신고가 접수되는 등 대학 정보시스템 보안 강화가 시급한 상황이다.

이처럼 개인정보 보호를 위한 기술적·관리적 안전조치 의무 위반에 대한 엄정한 제재가 이어지고 있으며, 국민 개인정보 보호를 위한 각 기관의 경각심과 대응 역량 강화를 촉구하는 목소리가 커지고 있다.

[경제엔미디어=장민철 기자]