개인정보위, 슈나이더일렉트릭 등 3개 업체에 억대 과징금
2023-10-12 13:28
경북대 등 6개 대학·단체에도 과징금 부과 결정
개인정보보호위원회 현판[사진=개인정보위]
개인정보보호위원회(개인정보위)는 11일 열린 제16회 전체회의에서 개인정보 보호법을 위반한 슈나이더일렉트릭코리아 등 3개 사업자에 과징금 2억3199만원과 과태료 1620만원 부과 결정을 내렸다고 밝혔다.
개인정보위 조사 결과 슈나이더일렉트릭코리아·신일전자는 개인정보 안전조치 의무를 소홀히해 해킹 공격으로 이용자 개인정보와 관리자 계정이 탈취됐다.
두 업체 모두 외부침입 차단·탐지 시스템 운영이 부실했고 SQL인젝션 공격을 예방하기 위한 홈페이지 입력값 검증 절차가 부재했다. 개인정보 취급자의 비밀번호 암호화도 조치하지 않았다. 신일전자는 기존 명시한 개인정보 보유 기간을 넘긴 개인정보를 파기하지 않은 사실과 개인정보 유출 통지를 지연한 사실도 추가로 밝혀졌다.
개인정보위는 이날 전체회의에서 △경북대(과징금 5750만원·과태료 720만원) △숙명여대(과징금 3750만원·과태료 300만원) △경북대 총동창회(과태료 420만원) △구미대(과태료 420만원) △대구가톨릭대(과태료 360만원) △대구한의대(과태료 360만원) 등 총 6개 대학·단체에 과징금·과태료 부과 안건도 의결했다.
경북대는 소속 학생 두 명이 지난 2021년8월부터 학교 시스템 보안 취약점을 악용해 파라미터 변조(매개변수 위조), 웹셸(악성코드) 업로드, 관리자 계정 취약점(비밀번호 관리 소홀) 이용 등 방법으로 여러 시스템에 무단 접속했다. 이후 유사한 방법으로 학교 관련 단체나 주변 대학으로 공격 범위를 확대했다.
이를 통해 경북대 등 6개 대학·단체에서 총 81만여건의 개인정보가 유출됐다. 유출된 정보에는 학교 구성원들의 성명·학번·연락처와 주민등록번호 2만여건도 포함됐다. 주민등록번호가 유출된 경북대·숙명여대는 접근 권한 관리와 접근 통제 등 개인정보 보호법상 안전조치 의무를 위반한 사실이 확인됐다.