⁠⁠⁠⁠⁠⁠⁠

임종철 디자이너 /사진=임종철 디자이너

비밀번호 찾기 시스템이나 데이터베이스 조회 기능의 취약점을 최장 10여년 간 방치하고 모니터링 소홀로 시스템 이상접근 등에 대한 징후도 파악하지 못해 32만명, 8만명의 개인정보 유출을 초래한 전북대, 이화여대에 억대 과징금이 부과됐다.

개인정보보호위원회는 지난 11일 전체회의에서 개인정보보호법을 위반해 개인정보 유출이 발생한 전북대, 이화여대에 각각 6억2300만원, 3억4300만원 등 총 9억6600만원의 과징금을 부과하기로 했다며 12일 이같이 밝혔다.

전북대에서는 지난해 7월 하순 이틀에 걸쳐 해커가 데이터베이스 명령어를 악의적으로 조작해 정보를 탈취하는 SQL인젝션(데이터베이스 명령어 주입) 및 웹 애플리케이션에서 입력된 데이터 검증 로직 취약점을 악용해 정보를 탈취하는 파라미터(입력값) 변조 등으로 학사행정 정보 시스템에 침입하는 사건이 발생했다.

해커는 학사행정 정보 시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 악용했고 학번 정보를 입수한 후 학적정보 조회 페이지 등에서 약 90만회의 파라미터 변조 및 무작위 대입을 통해 전북대 학생 및 평생 교육원 홈페이지 회원 등 32만명의 개인정보에 접근했다. 이같은 취약점은 2010년 12월 시스템이 구축될 때부터 존재했다. 전북대는 1997~2001년 당사자의 동의를 받아 수집한 주민등록번호 233건을 이후에도 파기하지 않고 계속 보유한 법 위반도 확인됐다.

이화여대에서는 세션값(사용자 식별값)과 조회대상 정보가 일치하지 않는 경우에도 파라미터(학번) 변조를 통해 다른 사용자의 개인정보를 조회할 수 있는 취약점이 있다. 이 취약점은 2015년 시스템 구축 당시부터 존재했다. 해커는 지난해 9월 초순 이틀에 걸쳐 파라미터 변조 공격으로 이화여대 통합행정 시스템에 침입해 8만3000여명의 주민등록번호 등 개인정보를 탈취했다.

이상징후 등 위협을 파악하기 위한 모니터링도 소홀했다. 전북대는 기본적 보안 장비는 갖추고 있었지만 외부 공격에 대한 대응이 미흡했고 일과시간 외에는 모니터링이 소홀했다. 이에 주말·야간에 발생한 비정상적 트래픽 급증 현상을 알아채지 못해 32만명에 이르는 개인정보가 탈취됐다. 이화여대 역시 일과시간 외 모니터링 소홀로 외부의 불법적 접근을 통제하지 못한 것으로 확인됐다.

개인정보위는 "대학의 경우 대개 생성규칙이 단순한 '학번' 등을 기준으로 개인정보를 관리하고 있어 파라미터(입력값) 변조 공격에 취약한 측면이 있고 대규모 고유식별정보를 처리하고 있어 유출 사고 발생 시 정보주체의 막대한 피해가 예상된다"며 "파라미터 변조 공격에 대비하고, 외부의 불법적인 접근 시도를 24시간 철저히 모니터링하는 등 각별한 주의가 필요하다고 했다.

또 "지난해부터 올 5월말까지 전국 대학에서 21건의 개인정보 유출신고가 잇따르는 점을 감안해 교육부에 전국 학사정보 관리 시스템의 개인정보 관리가 강화될 수 있도록 전파해줄 것과 관련 내용을 대학 평가에 반영하도록 검토해줄 것을 요청했다"고 했다.

이외에도 개인정보위는 △의약품을 제조·판매하면서 의약품 투약기록 관리 및 편의 서비스를 운영한 머크(과징금 8000만원, 과태료 600만원) △온라인 결제대행 서비스 운영사 온플랫(시정명령) △온라인 중고차 매매 중개 서비스 운영사 디알플러스(과징금 3242만원) 등에서도 개인정보 유출 등 사고가 발생했다는 이유로 처분을 내렸다.

황국상 기자 gshwang@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.