"○○학번 ○○○, 여기 살지?"…개인정보 털린 순천향대·경성대 과징금

순천향대 전경./사진=뉴스1

개인정보 유출사고로 정보시스템 관리부실이 들통난 순천향대·경성대가 개인정보보호위원회로부터 각각 과징금을 부과받았다.

개인정보위는 지난 13일 전체회의에서 순천향대에 과징금 1억9300만원과 과태료 660만원, 경성대에 과징금 4280만원 등을 각각 부과하기로 의결했다고 14일 밝혔다.

개인정보위는 "두 대학 모두 개인정보처리시스템에 존재하는 웹로직상 취약점을 6년 이상 개선하지 않고 방치한 데 따라 동일한 해커로부터 공격받은 것으로 추정된다"고 설명했다.

순천향대에선 올 1월 해킹으로 학생·교직원 500여명 이상의 이름·학과·학번·사번·주소·연락처 등 개인정보가 2000건 이상 유출됐다. 이 정보에는 20명 이상의 주민등록번호도 포함됐다.

해커는 순천향대 대표 웹사이트에서 로그인 없이 악성코드를 원격으로 실행할 수 있는 보안취약점을 악용했다. 취약점 보완패치는 2017년 10월 오라클이 배포했지만, 순천향대는 이를 적용하지 않고 방치한 것으로 드러났다.

순천향대는 방화벽(UTM) 장비를 들여놓고도 웹방화벽(WAF)·침입방지시스템(IPS) 기능을 설정하지 않았다. 침입탐지시스템(IDS) 장비는 설치하지 않은 상태였다. 개인정보위는 또 순천향대가 강사 채용과정에서 수집한 주민등록번호를 암호화하지 않고 보관한 사실도 적발했다.

경성대에선 순천향대와 유사한 시기·수법으로 교내 종합정보시스템(경성포털)이 공격받아 학생 2000여명의 이름·학과·학번·휴대전화번호 등 개인정보 4000여건이 유출됐다. 개인정보위는 경성대 역시 오라클의 패치를 방치하다가 지난 7일 적용을 마쳤다고 밝혔다.

개인정보위는 "학사정보 등 대량의 개인정보를 처리하는 대학은 안전조치 관련 의무사항을 이행하는 것은 물론이고, 외부의 불법접근 시도도 상시 감시하는 등 각별한 주의가 필요하다"고 밝혔다.