경북대, 숙명여대, 경북대 총동창회, 구미대, 대구가톨릭대, 대구한의대 등 개인정보 81만건 유출
보호법상 의무 위반에 대해 총 1억 2,080만원 과징금과 과태료 부과
보호법 개정으로 9월 이후 발생한 공공기관 유출사고의 처분 기준 높아져 주의 필요
[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 10월 11일 전체회의를 열고 경북대, 숙명여대, 경북대 총동창회, 구미대, 대구가톨릭대, 대구한의대 등 6개 대학 및 단체에 대해 총 1억 2,080만원의 과징금·과태료 부과를 의결했다.
▲경북대의 해킹 공격으로 인한 세부 유출 경위[자료=개인정보위]
세부 제재 내용으로는 △경북대(과징금 5,750만원, 과태료 720만원) △숙명여대(과징금 3,750만원, 과태료 300만원) △경북대 총동창회(과태료 420만원) △구미대(과태료 420만원) △대구가톨릭대(과태료 360만원) △대구한의대(과태료 360만원) 등이다.
개인정보위는 2022년 11월 경북대 관계자로부터 개인정보 유출신고를 접수받아 조사한 결과, 경북대 재학생 2명이 2021년 8월부터 학교 시스템 보안 취약점을 악용해 △파라미터 변조(매개변수 위조) △웹셸(악성코드) 업로드 △관리자 계정 취약점(비밀번호 관리 소홀) 이용 등 다양한 방법으로 여러 시스템에 무단으로 접속했다. 이들은 그 이후 유사한 방법으로 학교 관련 단체나 주변 대학으로 공격 범위를 확대해 나간 사실을 확인했다.
해당 사건으로 경북대 등 6개 대학·단체에서 총 81만여건의 개인정보가 유출됐다. 유출 항목에는 학교 구성원들의 성명과 학번, 연락처 등을 비롯해 주민등록번호도 2만여건이 포함된 사실이 드러났다.
특히, 경북대의 개인정보 세부 유출 경위를 보면 크게 △파라미터 변조 공격 △웹셸 업로드 공격 △관리자 계정 취약점 공격 등으로 진행됐다. ‘파라미터 변조 공격’은 웹페이지 및 시스템 스크립트상 문구(파라미터)를 다른 값으로 변경해 다른 정보주체의 정보를 조회할 수 있도록 시스템에 명령을 전달하는 방법이다. ‘웹셸 업로드 공격’은 시스템상 업로드 취약점을 통해 악성 프로그램 파일을 업로드, 해당 파일을 원격 작동해 관리자 권한을 획득한 후 시스템에 각종 명령을 전달하는 방법을 말한다. 또한, ‘관리자 계정 취약점 공격’은 관리자 계정의 비밀번호를 설정할 때 작성규칙을 따르지 않고 간단한 숫자로 설정할 경우, 다양한 패스워드 조합을 통해 시스템에 로그인하는 방법을 의미한다.
숙명여대는 관리자 계정 취약점 이용 방식으로, 경북대 총동창회, 대구가톨릭대, 구미대, 대구한의대 등 나머지 4개 기관은 웹셸 업로드 방식을 통해 시스템 불법 접근해 개인정보를 탈취했다.
주민등록번호가 유출된 경북대와 숙명여대의 경우, 접근 권한 관리, 접근 통제 등 개인정보 보호법 상 안전조치 의무를 위반한 사실을 확인했다. 이에 따라 개인정보위는 경북대에 5,750만원의 과징금과 720만원의 과태료를, 숙명여대에는 3,750만원의 과징금과 300만원의 과태료를 부과했다. 이외에도 접근 통제 등 안전조치 의무 위반 사실이 확인된 경북대 총동창회, 구미대, 대구가톨릭대, 대구한의대 등 4개 대학·단체에도 360만~420만원의 과태료를 각각 부과했다.
현재는 공공기관의 경우 주민등록번호가 유출됐을 경우에만 과징금 대상이지만, 앞으로는 개정된 개인정보 보호법에 따라 공공기관도 개인정보가 유출되면 과징금 부과 대상이 될 수 있다.
▲개인정보 보호법을 위반한 6개 공공기관의 위반내용 및 시정조치[자료=개인정보위]
개인정보위 관계자는 “공공기관 관련 개인정보 유출에 대한 제재 수위가 과거에 비해 대폭 강화된 만큼 보다 세심한 관심을 기울일 필요가 있다”고 밝혔다. 이어 “특히, 디지털 전환의 가속화로 웹 취약점을 악용한 사이버 공격이 꾸준히 피해를 일으키고 있어 웹 취약점 점검을 상시로 실시하는 한편, 내부 관계자에 의한 해킹 시도에도 각별한 주의가 요구된다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
보호법상 의무 위반에 대해 총 1억 2,080만원 과징금과 과태료 부과
보호법 개정으로 9월 이후 발생한 공공기관 유출사고의 처분 기준 높아져 주의 필요
[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 10월 11일 전체회의를 열고 경북대, 숙명여대, 경북대 총동창회, 구미대, 대구가톨릭대, 대구한의대 등 6개 대학 및 단체에 대해 총 1억 2,080만원의 과징금·과태료 부과를 의결했다.
▲경북대의 해킹 공격으로 인한 세부 유출 경위[자료=개인정보위]
세부 제재 내용으로는 △경북대(과징금 5,750만원, 과태료 720만원) △숙명여대(과징금 3,750만원, 과태료 300만원) △경북대 총동창회(과태료 420만원) △구미대(과태료 420만원) △대구가톨릭대(과태료 360만원) △대구한의대(과태료 360만원) 등이다.
개인정보위는 2022년 11월 경북대 관계자로부터 개인정보 유출신고를 접수받아 조사한 결과, 경북대 재학생 2명이 2021년 8월부터 학교 시스템 보안 취약점을 악용해 △파라미터 변조(매개변수 위조) △웹셸(악성코드) 업로드 △관리자 계정 취약점(비밀번호 관리 소홀) 이용 등 다양한 방법으로 여러 시스템에 무단으로 접속했다. 이들은 그 이후 유사한 방법으로 학교 관련 단체나 주변 대학으로 공격 범위를 확대해 나간 사실을 확인했다.
해당 사건으로 경북대 등 6개 대학·단체에서 총 81만여건의 개인정보가 유출됐다. 유출 항목에는 학교 구성원들의 성명과 학번, 연락처 등을 비롯해 주민등록번호도 2만여건이 포함된 사실이 드러났다.
특히, 경북대의 개인정보 세부 유출 경위를 보면 크게 △파라미터 변조 공격 △웹셸 업로드 공격 △관리자 계정 취약점 공격 등으로 진행됐다. ‘파라미터 변조 공격’은 웹페이지 및 시스템 스크립트상 문구(파라미터)를 다른 값으로 변경해 다른 정보주체의 정보를 조회할 수 있도록 시스템에 명령을 전달하는 방법이다. ‘웹셸 업로드 공격’은 시스템상 업로드 취약점을 통해 악성 프로그램 파일을 업로드, 해당 파일을 원격 작동해 관리자 권한을 획득한 후 시스템에 각종 명령을 전달하는 방법을 말한다. 또한, ‘관리자 계정 취약점 공격’은 관리자 계정의 비밀번호를 설정할 때 작성규칙을 따르지 않고 간단한 숫자로 설정할 경우, 다양한 패스워드 조합을 통해 시스템에 로그인하는 방법을 의미한다.
숙명여대는 관리자 계정 취약점 이용 방식으로, 경북대 총동창회, 대구가톨릭대, 구미대, 대구한의대 등 나머지 4개 기관은 웹셸 업로드 방식을 통해 시스템 불법 접근해 개인정보를 탈취했다.
주민등록번호가 유출된 경북대와 숙명여대의 경우, 접근 권한 관리, 접근 통제 등 개인정보 보호법 상 안전조치 의무를 위반한 사실을 확인했다. 이에 따라 개인정보위는 경북대에 5,750만원의 과징금과 720만원의 과태료를, 숙명여대에는 3,750만원의 과징금과 300만원의 과태료를 부과했다. 이외에도 접근 통제 등 안전조치 의무 위반 사실이 확인된 경북대 총동창회, 구미대, 대구가톨릭대, 대구한의대 등 4개 대학·단체에도 360만~420만원의 과태료를 각각 부과했다.
현재는 공공기관의 경우 주민등록번호가 유출됐을 경우에만 과징금 대상이지만, 앞으로는 개정된 개인정보 보호법에 따라 공공기관도 개인정보가 유출되면 과징금 부과 대상이 될 수 있다.
▲개인정보 보호법을 위반한 6개 공공기관의 위반내용 및 시정조치[자료=개인정보위]
개인정보위 관계자는 “공공기관 관련 개인정보 유출에 대한 제재 수위가 과거에 비해 대폭 강화된 만큼 보다 세심한 관심을 기울일 필요가 있다”고 밝혔다. 이어 “특히, 디지털 전환의 가속화로 웹 취약점을 악용한 사이버 공격이 꾸준히 피해를 일으키고 있어 웹 취약점 점검을 상시로 실시하는 한편, 내부 관계자에 의한 해킹 시도에도 각별한 주의가 요구된다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
