학생·교직원 개인정보 털린 순천향대·경성대…과징금 총 2.3억원 부과

실시간
뉴스

보안

학생·교직원 개인정보 털린 순천향대·경성대…과징금 총 2.3억원 부과

디지털데일리 발행일 2024-11-14 12:00:00

김보민 기자

URL복사

13일 종로 정부서울청사에서 열린 개인정보보호위원회 전체회의. [ⓒ개인정보보호위원회]

[디지털데일리 김보민기자] 개인정보보호 법규를 위반한 순천향대학교와 경성대학교가 총 2억원이 넘는 과징금을 부과 받았다.

개인정보보호위원회(이하 개인정보위)는 전날 제19회 전체회의를 열고 순천향대와 경성대에 과징금 총 2억3580만원을 부과하기로 의결했다고 14일 밝혔다.

개별적으로 보면 순천향대는 과징금 1억9300만원과 과태료 660만원을 부과 받았다. 순천향대는 학교 대표 홈페이지에 존재하는 웹로직 취약점을 악용한 해커에 의해 개인정보가 유출된 것으로 확인됐다.

해커는 대표 홈페이지 내부 저장 공간에 악성파일(웹셀)을 설치해 개인정보를 탈취했고, 이를 소셜네트워크서비스(SNS)에 유포했다. 해커가 공개한 파일을 분석한 결과, 학생·교직원 등 20명 이상의 주민등록번호를 포함한 500여명 이상의 개인정보가 유출된 것으로 파악됐다. 유출된 정보에는 이름, 학과, 학번, 주소, 연락처, 소속, 사번 등이 포함됐다.

개인정보위에 따르면 순천향대는 오라클이 2017년 10월 웹로직 취약점을 해소하기 위해 배포한 보안 패치를 현재까지 적용하지 않았다. 또한 방화벽(UTM)에 포함돼 있는 웹방화벽(WAF)과 침입방지시스템(IPS) 기능을 설정하지 않았다. 방화벽에 포함돼 있지 않은 침입탐지시스템(IDS)은 별도 설치하거나 운영하지 않은 점도 확인됐다.

주민등록번호가 포함된 강사 채용 관련 증빙 자료도 내부 저장 공간에 보관하면서 암호화 조치가 이뤄지지 않은 점도 드러났다.

개인정보위는 순천향대에 과징금 및 과태료와 더불어, 시정조치를 명령했다. 시정조치에는 IPS·IDS 설치 및 운영, 오라클이 배포한 보안패치 적용, 내부 저장공간에 주민등록번호가 포함된 증빙자료 보관시 암호화 조치 등의 내용이 담겼다. 개인정보 보호 대책 전반을 정비하도록 개선 권고도 내렸다.

경성대에는 과징금 4280만원이 부과됐다. 경성대의 경우 순천향대와 동일한 방법으로 교내 종합정보시스템 '경성포털'이 해킹 공격을 받아 개인정보가 유출됐다. 해커는 탈취한 정보를 SNS에 유포했다. 피해를 입은 학생은 2000여명이었고 이름, 학과, 학번, 전화번호 등 개인정보가 유출됐다.

경성대 역시 오라클이 2017년 10월 웹로직 취약점 해소를 위해 배포한 보안패치를 적용하지 않았다. 개인정보위에 따르면 경성대는 이번 의결 결과가 나오기 전인 이달 7일 보안패치 적용을 완료했다. 개인정보위는 과징금과 더불어 개인정보 보호 대책 전반을 정비하도록 개선 권고했다.