해킹 피해 입었는데..계원예대 과태료 부과받은 이유는

머니투데이

차현아 기자

윤종인 개인정보보호위원회 위원장이 25일 오전 정부서울청사에서 개최된 제9회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다./사진제공=개인정보위

해킹 공격을 받아 개인정보 유출 피해를 입은 계원예술대에 과태료 1350만원이 부과됐다. 퇴직자 개인정보를 파기하지 않거나 주민등록번호를 암호화하는 등 안전조치 의무를 다하지 않아서다.

개인정보보호위원회는 25일 계원예술대 등 7개 공공기관과 1개 사업자에 4050만원의 과태료와 시정권고 조치를 내렸다. 개인정보위는 유출신고를 접수받아 이번 조사에 착수했다. 조사 결과 이들 기관의 유출원인은 해킹이 세 건, 업무상 과실이 다섯 건이었다.

계원예대는 '웹셀'과 'SQL 인젝션 공격'을 받아 개인정보가 유출된 것으로 나타났다. 웹셀은 웹 서버 취약점을 이용, 별도 인증 없이 시스템에 접속해 원격으로 조종하는 방식이다. SQL 인젝션 공격은 데이터베이스의 질문값을 조작해 해커가 원하는 자료를 빼내는 기법이다. 계원예대는 안전조치 의무 위반 등이 적발돼 과태료 1350만원이 부과됐다.

대전테크노파크는 월 1회 이상 정기적으로 해야 하는 접속기록 점검을 하지 않았고, 개인정보 수집·이용 목적을 제대로 고지하지 않았다. 이에 과태료 780만원을 부과받았다.

또한 △군장대학교 △울산광역시청 △강원도 경제진흥원 △한국관광공사 △한국의료기기 안전정보원 등 다섯 개 공공기관과 경운대학교 산학협력단 등도 안전조치 의무를 위반해 과태료와 시정권고 조치를 받았다. 이들 기관은 취급 중인 개인정보처리시스템의 접근통제를 하지 않거나 비밀번호를 암호화하지 않았다.

양청삼 개인정보위 조사조정국장은 "공공기관이 개인정보 처리시스템과 운영·관리업무를 위탁한 뒤 관리감독을 소홀히하는 경우가 많다"며 "개인정보보호 책임자는 개인정보파일과 시스템에 취약점이 없는지 주기적으로 점검하는 등 관련 법을 철저히 지켜야 한다"고 말했다.