학사정보시스템 취약점 방치…수십만명 개인정보 탈취
주말·야간 모니터링 부실, 해킹 피해 키워
[보안뉴스 여이레 기자] 개인정보보호위원회가 안전조치 소홀로 수만명의 개인정보가 유출된 전북대학교와 이화여자대학교에 총 9억6600만원의 과징금과 540만원의 과태료를 부과했다.
강대현 개인정보보호위원회 조사총괄과장이 12일 서울 종로구 정부서울청사에서 개인정보를 유출한 2개 대학에 과징금을 부과한 것과 관련해 브리핑하고 있다. [출처: 연합]
개인정보위는 개인정보 유출에 따른 피해 규모 등을 고려해 32만여명의 정보가 유출된 전북대는 6억2300만원의 과징금과 540만원의 과태료를, 8만3000여명의 정보가 유출된 이화여대는 3억4300만원의 과징금을 각각 부과한다고 12일 밝혔다.
개인정보위 조사 결과 이들 대학은 학사정보 시스템에 구축 당시부터 취약점이 있었고, 일과시간 외 야간·주말에는 외부 불법 접근을 탐지·차단하는 모니터링이 제대로 이뤄지지 않는 등 안전조치 의무를 소홀히 한 사실이 확인됐다.
전북대 개인정보 유출사고 개요 [자료:개인정보보호위원회]
전북대는 지난해 7월 해커가 SQL 인젝션(데이터베이스 명령어 주입)과 파라미터(입력값) 변조 공격으로 학사행정정보시스템에 침입해 주민등록번호 28만여건을 포함한 32만여명의 개인정보를 탈취했다.
해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 있는 취약점을 노려 전북대 학생과 평생교육원 홈페이지 회원 등의 개인정보에 접근했다. 이 취약점은 시스템이 구축된 2010년 12월부터 있었던 것으로 파악됐다.
외부 공격 대응이 미흡한 점도 드러났다. 일과시간 외 모니터링을 소홀히 한 탓에 주말과 야간에 비정상적 트래픽 급증 현상이 일어났지만 뒤늦게 인지했다.
개인정보위는 전북대에 과징금 6억2300만원과 과태료 540만원을 부과하고 이를 학교 홈페이지에 공표하도록 명령했다. 또 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령하고, 책임자 징계도 권고했다.
이화여대 개인정보 유출사고 개요 [자료:개인정보보호위원회]
이화여대는 지난해 9월 해커가 통합행정시스템에 침입해 8만3000여명의 주민등록번호를 포함한 개인정보를 탈취했다. 이화여대 역시 2015년 11월 시스템 구축 당시부터 취약점이 있었고, 주말·야간 모니터링을 소홀히 해 외부 불법 접근 통제 조치가 미흡했던 것으로 밝혀졌다.
개인정보위는 이화여대에 과징금 3억4300만원을 부과하고 이를 대학 홈페이지에 공표하도록 명령했다. 모의해킹 등 취약점 점검 강화와 상시 모니터링 체계 구축을 시정명령하면서 책임자 징계도 권고했다.
한편 지난해부터 지난 5월 말까지 전국 대학에서 21건의 개인정보 유출 신고가 개인정보위에 접수되는 등 최근 대학에서 개인정보 유출 사고가 잇따르고 있다.
이를 감안해 개인정보위는 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리가 강화될 수 있도록 전파해줄 것과 관련 내용을 대학 평가 등에 반영하도록 검토해달라고 요청할 예정이다.
[여이레 기자(gore@boannews.com)]
주말·야간 모니터링 부실, 해킹 피해 키워
[보안뉴스 여이레 기자] 개인정보보호위원회가 안전조치 소홀로 수만명의 개인정보가 유출된 전북대학교와 이화여자대학교에 총 9억6600만원의 과징금과 540만원의 과태료를 부과했다.
강대현 개인정보보호위원회 조사총괄과장이 12일 서울 종로구 정부서울청사에서 개인정보를 유출한 2개 대학에 과징금을 부과한 것과 관련해 브리핑하고 있다. [출처: 연합]
개인정보위는 개인정보 유출에 따른 피해 규모 등을 고려해 32만여명의 정보가 유출된 전북대는 6억2300만원의 과징금과 540만원의 과태료를, 8만3000여명의 정보가 유출된 이화여대는 3억4300만원의 과징금을 각각 부과한다고 12일 밝혔다.
개인정보위 조사 결과 이들 대학은 학사정보 시스템에 구축 당시부터 취약점이 있었고, 일과시간 외 야간·주말에는 외부 불법 접근을 탐지·차단하는 모니터링이 제대로 이뤄지지 않는 등 안전조치 의무를 소홀히 한 사실이 확인됐다.
전북대 개인정보 유출사고 개요 [자료:개인정보보호위원회]
전북대는 지난해 7월 해커가 SQL 인젝션(데이터베이스 명령어 주입)과 파라미터(입력값) 변조 공격으로 학사행정정보시스템에 침입해 주민등록번호 28만여건을 포함한 32만여명의 개인정보를 탈취했다.
해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 있는 취약점을 노려 전북대 학생과 평생교육원 홈페이지 회원 등의 개인정보에 접근했다. 이 취약점은 시스템이 구축된 2010년 12월부터 있었던 것으로 파악됐다.
외부 공격 대응이 미흡한 점도 드러났다. 일과시간 외 모니터링을 소홀히 한 탓에 주말과 야간에 비정상적 트래픽 급증 현상이 일어났지만 뒤늦게 인지했다.
개인정보위는 전북대에 과징금 6억2300만원과 과태료 540만원을 부과하고 이를 학교 홈페이지에 공표하도록 명령했다. 또 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령하고, 책임자 징계도 권고했다.
이화여대 개인정보 유출사고 개요 [자료:개인정보보호위원회]
이화여대는 지난해 9월 해커가 통합행정시스템에 침입해 8만3000여명의 주민등록번호를 포함한 개인정보를 탈취했다. 이화여대 역시 2015년 11월 시스템 구축 당시부터 취약점이 있었고, 주말·야간 모니터링을 소홀히 해 외부 불법 접근 통제 조치가 미흡했던 것으로 밝혀졌다.
개인정보위는 이화여대에 과징금 3억4300만원을 부과하고 이를 대학 홈페이지에 공표하도록 명령했다. 모의해킹 등 취약점 점검 강화와 상시 모니터링 체계 구축을 시정명령하면서 책임자 징계도 권고했다.
한편 지난해부터 지난 5월 말까지 전국 대학에서 21건의 개인정보 유출 신고가 개인정보위에 접수되는 등 최근 대학에서 개인정보 유출 사고가 잇따르고 있다.
이를 감안해 개인정보위는 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리가 강화될 수 있도록 전파해줄 것과 관련 내용을 대학 평가 등에 반영하도록 검토해달라고 요청할 예정이다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
