개인정보위, 슈나이더일렉트릭 등 3개 업체에 억대 과징금

2023-10-12 13:28
  • 글자크기 설정

경북대 등 6개 대학·단체에도 과징금 부과 결정

개인정보보호위원회 현판사진개인정보위
개인정보보호위원회 현판[사진=개인정보위]

개인정보보호위원회(개인정보위)는 11일 열린 제16회 전체회의에서 개인정보 보호법을 위반한 슈나이더일렉트릭코리아 등 3개 사업자에 과징금 2억3199만원과 과태료 1620만원 부과 결정을 내렸다고 밝혔다.

개인정보위 조사 결과 슈나이더일렉트릭코리아·신일전자는 개인정보 안전조치 의무를 소홀히해 해킹 공격으로 이용자 개인정보와 관리자 계정이 탈취됐다.
두 업체 모두 외부침입 차단·탐지 시스템 운영이 부실했고 SQL인젝션 공격을 예방하기 위한 홈페이지 입력값 검증 절차가 부재했다. 개인정보 취급자의 비밀번호 암호화도 조치하지 않았다. 신일전자는 기존 명시한 개인정보 보유 기간을 넘긴 개인정보를 파기하지 않은 사실과 개인정보 유출 통지를 지연한 사실도 추가로 밝혀졌다.

이에 개인정보위는 슈나이더일렉트릭코리아에 과징금 799만원·과태료 420만원을, 신일전자에 과징금 2억2400만원·과태료 1080만원 부과 결정을 내렸다. 국민은행에 대해서는 IP주소 등 개인정보 수집에 관해 정보 주체에게 필수·선택 사항을 구분하지 않고 동의를 받은 것이 확인됐다. 과태료 120만원 부과와 개선권고 등을 조치하기로 했다.

개인정보위는 이날 전체회의에서 △경북대(과징금 5750만원·과태료 720만원) △숙명여대(과징금 3750만원·과태료 300만원) △경북대 총동창회(과태료 420만원) △구미대(과태료 420만원) △대구가톨릭대(과태료 360만원) △대구한의대(과태료 360만원) 등 총 6개 대학·단체에 과징금·과태료 부과 안건도 의결했다.

경북대는 소속 학생 두 명이 지난 2021년8월부터 학교 시스템 보안 취약점을 악용해 파라미터 변조(매개변수 위조), 웹셸(악성코드) 업로드, 관리자 계정 취약점(비밀번호 관리 소홀) 이용 등 방법으로 여러 시스템에 무단 접속했다. 이후 유사한 방법으로 학교 관련 단체나 주변 대학으로 공격 범위를 확대했다.

이를 통해 경북대 등 6개 대학·단체에서 총 81만여건의 개인정보가 유출됐다. 유출된 정보에는 학교 구성원들의 성명·학번·연락처와 주민등록번호 2만여건도 포함됐다. 주민등록번호가 유출된 경북대·숙명여대는 접근 권한 관리와 접근 통제 등 개인정보 보호법상 안전조치 의무를 위반한 사실이 확인됐다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기
언어선택
  • 중국어
  • 영어
  • 일본어
  • 베트남어
닫기