개인정보보호위원회, 경북대 등 개인정보보호 법규 위반 6개 공공기관 제재
경북대 등 6개 대학·단체, 동일인 해킹으로 개인정보 81만여 건 유출
※ 경북대 : 과징금 5,750만 원 · 과태료 720만 원 / 숙명여대 : 과징금 3,750만 원 · 과태료 300만 원 / 경북대 총동창회 : 과태료 420만 원 / 구미대학교 : 과태료 420만 원 / 대구가톨릭대학교 : 과태료 360만 원 / 대구한의대학교 : 과태료 360만 원
작년 11월 경북대학교 측으로부터 개인정보 유출신고를 접수받아 조사한 결과, 경북대학교 소속 학생 2명이 ’21.8월부터 학교 시스템 보안 취약점을 악용해 파라미터 변조(매개변수 위조), 웹셸(악성코드) 업로드, 관리자계정 취약점(비밀번호 관리 소홀) 이용 등 다양한 방법으로 여러 시스템에 무단 접속했고 이후 유사한 방법으로 학교 관련 단체나 주변 대학으로 공격 범위를 확대해 나간 사실을 확인했다.
이를 통해 경북대학교 등 6개 대학 · 단체에서 총 81만여 건의 개인정보가 유출됐으며, 유출 항목에는 학교 구성원들의 성명 · 학번 · 연락처 등을 비롯하여 주민등록번호도 2만여 건이 포함된 사실이 드러났다.
특히, 주민등록번호가 유출된 경북대학교와 숙명여자대학교의 경우, 접근 권한 관리, 접근 통제 등 「개인정보 보호법」상 안전조치 의무를 위반한 사실을 확인했고, 경북대학교에는 5,750만 원의 과징금과 720만 원의 과태료를, 숙명여자대학교에는 3,750만 원의 과징금과 300만 원의 과태료를 부과했다.
이외에도 접근 통제 등 안전조치 의무 위반 사실이 확인된 4개 대학 · 단체에 대해서도 360만 원에서 420만 원의 과태료를 각각 부과했다.
현재는 공공기관의 경우 주민등록번호 유출시에만 과징금 대상이지만, 앞으로는 개정된 '개인정보 보호법'에 따라 공공기관도 개인정보가 유출되면 과징금 부과 대상이 될 수 있다.
공공기관 관련 개인정보 유출에 대한 제재 수위가 과거에 비해 대폭 강화된 만큼 보다 세심한 관심을 기울일 필요가 있다. 특히, 디지털 전환의 가속화로 웹 취약점을 악용한 사이버 공격이 꾸준히 피해를 일으키고 있어 웹 취약점 점검을 상시적으로 실시하는 한편, 내부 관계자에 의한 해킹 시도에도 각별한 주의가 요구된다.