순천향대·경성대 홈페이지 웹로직 취약점 공격 당해... 2017년 배포한 보안 패치 적용 안 돼
이름, 학번 등 학생 개인정보 약 4,000건 털렸다...동일 해커 공격으로 추정돼
[보안뉴스 박은주 기자] 개인정보보호위워회(위원장 고학수 이하 개인정보위)가 개인정보 보호법을 위반해 학생 개인정보를 유출한 순천향대학교와 경성대학교에 총 2억 3,580만원의 과징금과 660만원의 과태료를 부과했다.
[로고=순천향대학교, 경성대학교]
개인정보위가 11월 13일 제19회 전체회의를 열고, 순천향대학교에 과징금 1억 9,300만원과 과태료 660만원과 시정명령을, 경성대학교에 4,280만원 과징금을 부과하기로 의결했다.
두 학교 모두 개인정보 유출 신고에 따라 조사가 진행됐고, 학교 홈페이지에 존재는 웹 로직 취약점을 악용한 해커에 의해 개인정보가 유출됐다. 웹로직 취약점은 공격자가 관리자 계정에 로그인하지 않고도 서버에서 원격으로 악의적인 코드를 실행시켜 데이터를 유출할 수 있다.
순천향대학교는 학교 대표 홈페이지 내부 저장공간에 악성파일(웹셸)을 설치해 개인정보를 탈취한 후 이를 SNS에 유포했다. 해커가 공개한 파일을 분석한 결과, 학생·교직원 등 20명 이상의 주민등록 번호를 포함한 500여명 이상의 개인정보가 유출된 것으로 확인됐다. 이름, 학과, 학번, 주소, 연락처, 소속, 사번 등 총 2,000건 이상의 정보가 유출됐다.
개인정보위 조사결과, 순천향대는 오라클이 2017년 10월 웹로직 취약점 보안을 위해 배포한 보안 패치를 약 6년이 지난 당시까지 적용하지 않았다. 또한, 순천향대가 사용하는 방화벽(UTM)에 웹방화벽(WAF)과 침입방지시스템(IPS)이 포함돼 있었지만, 기능을 활성화하지 않았다. 방화벽에 포함되지 않은 침입 탐지시스템(IDS)은 별도로 설치·운영하지 않아 외부의 불법적인 접근을 방지하지 못했다.
이에 개인정보위는 과징금과 과태료를 부과하고, △침입방지시스템(IPS)·침입탐지시스템(IDS) 설치·운영 △2017년 10월 오라클이 배포한 보안패치 적용 △내부 저장공간에 주민등록 번호가 포함된 증빙자료 보관 시 암호화 조치에 대해 시정조치를 명령하는 동시에 개인정보 보호대책 전반을 정비하도록 개선 권고했다.
경성대학교도 순천향대와 동일한 방법으로 교내 종합정보 시스템(경성포털)이 해킹 공격을 받아 개인정보가 유출됐다. 마찬가지로 해커는 탈취한 개인정보를 SNS에 유포했다. 해당 파일을 분석한 결과 학생 2,000여명 개인정보가 유출된 것으로 확인됐다. 이름, 학과, 학번, 휴대전화번호 등 총 4,000건 이상의 정보가 유출됐다.
경성대학교 역시 2017년 10월 웹로직 취약점 보안을 위해 배포한 보안 패치를 약 6년이 지난 당시까지 적용하지 않았다. 이에 개인정보위는 과징금을 부과하면서 개인정보 보호 대책 전반을 정비하도록 개선권고했다.
이번 사건은 순천향대학교와 경성대학교 모두 개인정보처리시스템에 존재하는 웹로직 상 취약점을 6년 이상 개선하지 않고 방치함에 따라 동일한 해커에 의해 공격을 받은 것으로 추정된다.
대학은 학사정보 등 대량의 개인정보를 처리하고 있어 유출사고 우려가 크다. 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치와 관련된 의무 사항은 반드시 이행하는 것은 물론, 외부의 불법접근 시도에 대해서도 상시 모니터링하는 등 각별한 주의가 필요하다고 개인정보위는 당부했다.
[박은주 기자(boan5@boannews.com)]
이름, 학번 등 학생 개인정보 약 4,000건 털렸다...동일 해커 공격으로 추정돼
[보안뉴스 박은주 기자] 개인정보보호위워회(위원장 고학수 이하 개인정보위)가 개인정보 보호법을 위반해 학생 개인정보를 유출한 순천향대학교와 경성대학교에 총 2억 3,580만원의 과징금과 660만원의 과태료를 부과했다.
[로고=순천향대학교, 경성대학교]
개인정보위가 11월 13일 제19회 전체회의를 열고, 순천향대학교에 과징금 1억 9,300만원과 과태료 660만원과 시정명령을, 경성대학교에 4,280만원 과징금을 부과하기로 의결했다.
두 학교 모두 개인정보 유출 신고에 따라 조사가 진행됐고, 학교 홈페이지에 존재는 웹 로직 취약점을 악용한 해커에 의해 개인정보가 유출됐다. 웹로직 취약점은 공격자가 관리자 계정에 로그인하지 않고도 서버에서 원격으로 악의적인 코드를 실행시켜 데이터를 유출할 수 있다.
순천향대학교는 학교 대표 홈페이지 내부 저장공간에 악성파일(웹셸)을 설치해 개인정보를 탈취한 후 이를 SNS에 유포했다. 해커가 공개한 파일을 분석한 결과, 학생·교직원 등 20명 이상의 주민등록 번호를 포함한 500여명 이상의 개인정보가 유출된 것으로 확인됐다. 이름, 학과, 학번, 주소, 연락처, 소속, 사번 등 총 2,000건 이상의 정보가 유출됐다.
개인정보위 조사결과, 순천향대는 오라클이 2017년 10월 웹로직 취약점 보안을 위해 배포한 보안 패치를 약 6년이 지난 당시까지 적용하지 않았다. 또한, 순천향대가 사용하는 방화벽(UTM)에 웹방화벽(WAF)과 침입방지시스템(IPS)이 포함돼 있었지만, 기능을 활성화하지 않았다. 방화벽에 포함되지 않은 침입 탐지시스템(IDS)은 별도로 설치·운영하지 않아 외부의 불법적인 접근을 방지하지 못했다.
이에 개인정보위는 과징금과 과태료를 부과하고, △침입방지시스템(IPS)·침입탐지시스템(IDS) 설치·운영 △2017년 10월 오라클이 배포한 보안패치 적용 △내부 저장공간에 주민등록 번호가 포함된 증빙자료 보관 시 암호화 조치에 대해 시정조치를 명령하는 동시에 개인정보 보호대책 전반을 정비하도록 개선 권고했다.
경성대학교도 순천향대와 동일한 방법으로 교내 종합정보 시스템(경성포털)이 해킹 공격을 받아 개인정보가 유출됐다. 마찬가지로 해커는 탈취한 개인정보를 SNS에 유포했다. 해당 파일을 분석한 결과 학생 2,000여명 개인정보가 유출된 것으로 확인됐다. 이름, 학과, 학번, 휴대전화번호 등 총 4,000건 이상의 정보가 유출됐다.
경성대학교 역시 2017년 10월 웹로직 취약점 보안을 위해 배포한 보안 패치를 약 6년이 지난 당시까지 적용하지 않았다. 이에 개인정보위는 과징금을 부과하면서 개인정보 보호 대책 전반을 정비하도록 개선권고했다.
이번 사건은 순천향대학교와 경성대학교 모두 개인정보처리시스템에 존재하는 웹로직 상 취약점을 6년 이상 개선하지 않고 방치함에 따라 동일한 해커에 의해 공격을 받은 것으로 추정된다.
대학은 학사정보 등 대량의 개인정보를 처리하고 있어 유출사고 우려가 크다. 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치와 관련된 의무 사항은 반드시 이행하는 것은 물론, 외부의 불법접근 시도에 대해서도 상시 모니터링하는 등 각별한 주의가 필요하다고 개인정보위는 당부했다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
