.gif)
서울대병원·국토교통부에 공공기관 최초 과징금 각각 7,475만원, 2,500만원 부과
신당역 살인 사건 관할 서울교통공사는 과태료 부과 및 시스템 전반 점검 등 개선권고
[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 지난해 7월 관계기관 합동으로 ‘공공기관 유출방지 대책’을 발표한 이후 그 후속조치로 지난달 7일 ‘공공부문 안전조치 강화 계획’을 수립·추진하는 한편 그와 병행해 공공기관의 법 위반 제재 강화에 나섰다.
[이미지=gettyimagesbank]
개인정보위는 10일 전체회의에서 14개 공공기관의 개인정보보호 법규 위반에 대해 심의했다. 14개 공공기관은 △서울대학교병원 △국토교통부 △서울교통공사 △서울 강북구 △한국과학기술원 △서울대학교 △용인교육지원청 △서울 강남구 △협성대학교 △농립축산검역본부 △인천 남동구 △창원시 △한국잡월드 △한국산업인력공단 등이다.
이 가운데 서울대병원과 국토교통부 등 2개 기관에는 개인정보위 출범 이후 공공기관 최초로 과징금을 부과했다. 개인정보위는 그밖에 12개 기관에 대해서도 과태료 부과 및 시정명령 등 처분을 의결했다고 밝혔다.
우선, ‘개인정보 유출 사고’와 관련해 개인정보가 유출된 10개 기관은 △서울대학교병원 △한국과학기술원 △서울대학교(이상 ‘해킹’) △국토교통부 △서울 강북구(이상 ‘시스템 오류’) △용인교육지원청 △서울 강남구 △협성대학교 △농림축산검역본부 △인천 남동구(이상 ‘담당자 부주의’) 중 주민등록번호가 유출된 경우로서 안전조치를 제대로 하지 않은 2개 기관에는 과징금을, 그 외 8개 기관에는 과태료를 부과했다.
‘해킹’ 사고가 발생한 서울대학교병원은 해커가 1차로 2021년 6월 웹셸을 실행해 원격 데스크톱 서비스로 유휴 서버에 연결, 내부망 공유폴더를 탐색하고 1만 89명의 주민등록번호와 2만 2,020명의 개인정보를 탈취했다. 해커는 이미 확보한 계정정보 등을 이용해 병리자료 서버에 침입해 환자 65만 2,930명의 진료정보(사망자 포함시 81만 38명)를 탈취했다. 또한, 해커는 1차와 동일경로로 내부망 전자사보 데이터베이스에 접속한 후 1,953명의 직원정보를 탈취했다.
한국과학기술원은 해커가 교직원 및 학생들에게 11종의 피싱메일을 발송해 이메일 계정을 탈취, VPN 계정 등에 접속했다.
서울대학교는 홈페이지 접근통제 미흡으로 인한 SQL 인젝션 해킹 공격을 받은 것으로 조사됐다.
‘시스템 오류’ 사고를 낸 국토교통부는 세움터 시스템(건축물대장 발급) 소소코드 수정 과정에서 연계시스템(일사편리)과 신청인 발급 코드가 중복되는 오류가 발생해 약 16시간 동안 소유자 본인 외 다른 민원인들에게 2만 7,631명의 주민등록번호가 마스킹 처리되지 않은채 열람됐다.
서울 강북구는 안전조치 소홀로 홈페이지 관리자 페이지의 URL이 외부 검색엔진에 노출되는 사고가 발생했다.
‘담당자 부주의’로 지적 받은 용인교육지원청은 관내 중·고등학교에 수능시험 감독관 임명 공문을 발송하면서 감독관 전체 명단 파일을 해당 학교별로 구분하지 않고 일괄 발송, 파일은 암호화돼 있으나 비밀번호를 공문에 명시했다.
서울 강남구는 개인정보가 포함된 서류를 재활용 분리장에 반출해 파쇄 등 후속 작업 없이 방치, 기자가 해당 서류 일부를 촬영했다.
경기 화성시에 있는 협성대학교는 내부 메신저에 안내·홍보자료를 게재하면서 담당자 실수로 재학생의 개인정보가 담긴 파일을 잘못 게재하는 일이 발생했다.
농림축산식품부 산하기관인 농림축산검역본부는 공공데이터 개방 정책에 따라 공공데이터포털에 동물등록 대행업체의 법인정보를 등록하면서 법인정보 외에 대표자의 휴대폰 번호, 이메일 등 개인정보를 함께 게재했다.
인천 남동구는 민원대응 과정에서 담당 직원 실수로 2명의 개인정보를 잘못 교부하는 일이 발생했다.
개인정보위는 해당 10개 기관 가운데 안전조치의무 위반 정도가 상대적으로 중대한 서울대학교병원에는 7,475만원의 과징금과 660만원의 과태료를 함께 부과했으며, 건축 행정 시스템(세움터) 수정 과정에서 오류로 주민등록번호가 유출된 국토교통부에는 2,500만원의 과징금을 부과했다.
그 외에 개인정보를 잘못 발송하거나 재활용 분리장에 방치하는 등의 행위로 개인정보가 유출된 8개 기관에 대해서는 안전조치의무 등을 다하지 않은 책임을 물어 300만~900만원의 과태료를 부과했다.
‘개인정보 침해 관련’에서 시정 조치를 받은 기관은 △서울교통공사 △창원시 △한국과학기술원 △한국잡월드 △한국산업인력공단 등 5곳이다. 개인정보위는 이 가운데 개인정보 침해신고 등으로 조사를 받은 4개 기관에 대해서는 시스템 접근권한을 제대로 관리하지 않거나, 동의없는 개인정보 수집, 보유기간이 지난 개인정보 미파기 등 법 위반 사실이 확인돼 과태료 등을 처분했다.
지난해 9월 신당역 살인사건이 발생한 서울교통공사는 전 직원에게 다른 직원의 주소지를 검색할 수 있는 접근 권한을 부여하고, 직위 해제된 직원의 접근 권한을 지체 없이 말소하지 않는 등 안전조치를 소홀히 한 사실이 확인돼 과태료 처분을 했다. 또한, 2차 피해의 중대성과 심각성을 고려해 ‘공공기관 유출방지 대책’에 따라 2개월 내에 보유 시스템 전반에 대해 점검하고 개인정보보호 강화 대책을 수립·이행토록 하는 개선권고를 함께 의결했다.
창원시는 담당자가 부주의로 홈페이지 게시판에 개인정보가 포함된 명단을 잘못 첨부해 게재했다가 스스로 해당 사실 확인 후 시정했다. 유출 사실은 확인되지 않았다.
한국과학기술원은 동의 및 법적 근거없이 재학생 등의 개인정보를 추가 수집, 정보주체 동의를 받을 때 고지사항 일부 누락, 보관기간 경과 개인정보 미파기, 일부 시스템의 업무 위탁사항 미공개 등으로 시정 조치를 받았다.
한국잡월드는 용역 계약시 과업지시서에 근로자의 개인정보를 제출하도록 명시, 법적 근거 없이 용역업체로부터 근로자의 개인정보를 수집했으며, 한국산업인력공단은 기존에 수집했던 개인정보가 불필요하게 됐음에도 해당 정보를 파기하지 않았다.
▲개인정보보호 법규 위반 14개 기관의 기관명과 위반 내용, 시정조치 내용[자료=개인정보위]
개인정보위 남석 조사조정국장은 “공공기관의 경우 다량의 개인정보를 처리하고 있어 작은 위반행위로도 심각한 피해로 이어질 가능성이 큰 만큼 담당자들의 세심한 주의가 필요하다”고 강조했다. 이어 “지난달 7일에 발표된 ‘공공부문 안전조치 강화계획’에 따른 1,515개 집중관리시스템은 올해부터 3년간 순차적으로 안전조치 이행상황을 집중 점검할 계획”이라며 “집중관리시스템이 아니더라도 심각한 유출 사고가 발생한 공공시스템은 점검대상에 포함할 예정”이라고 덧붙였다.
[김영명 기자(boan@boannews.com)]
신당역 살인 사건 관할 서울교통공사는 과태료 부과 및 시스템 전반 점검 등 개선권고
[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 지난해 7월 관계기관 합동으로 ‘공공기관 유출방지 대책’을 발표한 이후 그 후속조치로 지난달 7일 ‘공공부문 안전조치 강화 계획’을 수립·추진하는 한편 그와 병행해 공공기관의 법 위반 제재 강화에 나섰다.
[이미지=gettyimagesbank]
개인정보위는 10일 전체회의에서 14개 공공기관의 개인정보보호 법규 위반에 대해 심의했다. 14개 공공기관은 △서울대학교병원 △국토교통부 △서울교통공사 △서울 강북구 △한국과학기술원 △서울대학교 △용인교육지원청 △서울 강남구 △협성대학교 △농립축산검역본부 △인천 남동구 △창원시 △한국잡월드 △한국산업인력공단 등이다.
이 가운데 서울대병원과 국토교통부 등 2개 기관에는 개인정보위 출범 이후 공공기관 최초로 과징금을 부과했다. 개인정보위는 그밖에 12개 기관에 대해서도 과태료 부과 및 시정명령 등 처분을 의결했다고 밝혔다.
우선, ‘개인정보 유출 사고’와 관련해 개인정보가 유출된 10개 기관은 △서울대학교병원 △한국과학기술원 △서울대학교(이상 ‘해킹’) △국토교통부 △서울 강북구(이상 ‘시스템 오류’) △용인교육지원청 △서울 강남구 △협성대학교 △농림축산검역본부 △인천 남동구(이상 ‘담당자 부주의’) 중 주민등록번호가 유출된 경우로서 안전조치를 제대로 하지 않은 2개 기관에는 과징금을, 그 외 8개 기관에는 과태료를 부과했다.
‘해킹’ 사고가 발생한 서울대학교병원은 해커가 1차로 2021년 6월 웹셸을 실행해 원격 데스크톱 서비스로 유휴 서버에 연결, 내부망 공유폴더를 탐색하고 1만 89명의 주민등록번호와 2만 2,020명의 개인정보를 탈취했다. 해커는 이미 확보한 계정정보 등을 이용해 병리자료 서버에 침입해 환자 65만 2,930명의 진료정보(사망자 포함시 81만 38명)를 탈취했다. 또한, 해커는 1차와 동일경로로 내부망 전자사보 데이터베이스에 접속한 후 1,953명의 직원정보를 탈취했다.
한국과학기술원은 해커가 교직원 및 학생들에게 11종의 피싱메일을 발송해 이메일 계정을 탈취, VPN 계정 등에 접속했다.
서울대학교는 홈페이지 접근통제 미흡으로 인한 SQL 인젝션 해킹 공격을 받은 것으로 조사됐다.
‘시스템 오류’ 사고를 낸 국토교통부는 세움터 시스템(건축물대장 발급) 소소코드 수정 과정에서 연계시스템(일사편리)과 신청인 발급 코드가 중복되는 오류가 발생해 약 16시간 동안 소유자 본인 외 다른 민원인들에게 2만 7,631명의 주민등록번호가 마스킹 처리되지 않은채 열람됐다.
서울 강북구는 안전조치 소홀로 홈페이지 관리자 페이지의 URL이 외부 검색엔진에 노출되는 사고가 발생했다.
‘담당자 부주의’로 지적 받은 용인교육지원청은 관내 중·고등학교에 수능시험 감독관 임명 공문을 발송하면서 감독관 전체 명단 파일을 해당 학교별로 구분하지 않고 일괄 발송, 파일은 암호화돼 있으나 비밀번호를 공문에 명시했다.
서울 강남구는 개인정보가 포함된 서류를 재활용 분리장에 반출해 파쇄 등 후속 작업 없이 방치, 기자가 해당 서류 일부를 촬영했다.
경기 화성시에 있는 협성대학교는 내부 메신저에 안내·홍보자료를 게재하면서 담당자 실수로 재학생의 개인정보가 담긴 파일을 잘못 게재하는 일이 발생했다.
농림축산식품부 산하기관인 농림축산검역본부는 공공데이터 개방 정책에 따라 공공데이터포털에 동물등록 대행업체의 법인정보를 등록하면서 법인정보 외에 대표자의 휴대폰 번호, 이메일 등 개인정보를 함께 게재했다.
인천 남동구는 민원대응 과정에서 담당 직원 실수로 2명의 개인정보를 잘못 교부하는 일이 발생했다.
개인정보위는 해당 10개 기관 가운데 안전조치의무 위반 정도가 상대적으로 중대한 서울대학교병원에는 7,475만원의 과징금과 660만원의 과태료를 함께 부과했으며, 건축 행정 시스템(세움터) 수정 과정에서 오류로 주민등록번호가 유출된 국토교통부에는 2,500만원의 과징금을 부과했다.
그 외에 개인정보를 잘못 발송하거나 재활용 분리장에 방치하는 등의 행위로 개인정보가 유출된 8개 기관에 대해서는 안전조치의무 등을 다하지 않은 책임을 물어 300만~900만원의 과태료를 부과했다.
‘개인정보 침해 관련’에서 시정 조치를 받은 기관은 △서울교통공사 △창원시 △한국과학기술원 △한국잡월드 △한국산업인력공단 등 5곳이다. 개인정보위는 이 가운데 개인정보 침해신고 등으로 조사를 받은 4개 기관에 대해서는 시스템 접근권한을 제대로 관리하지 않거나, 동의없는 개인정보 수집, 보유기간이 지난 개인정보 미파기 등 법 위반 사실이 확인돼 과태료 등을 처분했다.
지난해 9월 신당역 살인사건이 발생한 서울교통공사는 전 직원에게 다른 직원의 주소지를 검색할 수 있는 접근 권한을 부여하고, 직위 해제된 직원의 접근 권한을 지체 없이 말소하지 않는 등 안전조치를 소홀히 한 사실이 확인돼 과태료 처분을 했다. 또한, 2차 피해의 중대성과 심각성을 고려해 ‘공공기관 유출방지 대책’에 따라 2개월 내에 보유 시스템 전반에 대해 점검하고 개인정보보호 강화 대책을 수립·이행토록 하는 개선권고를 함께 의결했다.
창원시는 담당자가 부주의로 홈페이지 게시판에 개인정보가 포함된 명단을 잘못 첨부해 게재했다가 스스로 해당 사실 확인 후 시정했다. 유출 사실은 확인되지 않았다.
한국과학기술원은 동의 및 법적 근거없이 재학생 등의 개인정보를 추가 수집, 정보주체 동의를 받을 때 고지사항 일부 누락, 보관기간 경과 개인정보 미파기, 일부 시스템의 업무 위탁사항 미공개 등으로 시정 조치를 받았다.
한국잡월드는 용역 계약시 과업지시서에 근로자의 개인정보를 제출하도록 명시, 법적 근거 없이 용역업체로부터 근로자의 개인정보를 수집했으며, 한국산업인력공단은 기존에 수집했던 개인정보가 불필요하게 됐음에도 해당 정보를 파기하지 않았다.
▲개인정보보호 법규 위반 14개 기관의 기관명과 위반 내용, 시정조치 내용[자료=개인정보위]
개인정보위 남석 조사조정국장은 “공공기관의 경우 다량의 개인정보를 처리하고 있어 작은 위반행위로도 심각한 피해로 이어질 가능성이 큰 만큼 담당자들의 세심한 주의가 필요하다”고 강조했다. 이어 “지난달 7일에 발표된 ‘공공부문 안전조치 강화계획’에 따른 1,515개 집중관리시스템은 올해부터 3년간 순차적으로 안전조치 이행상황을 집중 점검할 계획”이라며 “집중관리시스템이 아니더라도 심각한 유출 사고가 발생한 공공시스템은 점검대상에 포함할 예정”이라고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
