개인정보위, ‘개인정보 유출’ 공공기관 두 곳 과태료 부과_세계_krvip

개인정보보호위원회는 개인 정보가 유출된 한국고용정보원과 한국장학재단에 각각 과태료 840만 원을 부과하고, 보안 대책을 정비하도록 권고했습니다.

개인정보위는 어제(24일) 전체회의를 열어 이같이 의결했다고 오늘(25일) 밝혔습니다.

개인정보위는 지난해 한국고용정보원의 ‘워크넷’이 공격을 받아 23만 6천여 명의 개인 정보가 유출된 사실을 확인했고, 한국장학재단 홈페이지에서도 3만 2천여 명의 정보가 유출됐다고 설명했습니다.

이번 공격에 활용된 방식은 ‘크리덴셜 스터핑(Credential Stuffing)’으로 공격자가 다른 방법을 통해 계정·비밀번호 정보를 취득한 뒤 다른 사이트에서도 이를 같게 사용해 성공할 때까지 로그인을 시도하는 공격입니다.

특히 해당 기관 모두 24시간 감시·모니터링 체계가 있지만, 이번 공격에 대응할 수 있는 보안 대책인 계정 잠금 등이 미흡했던 것으로 드러났습니다.

개인정보위는 “사건 이후 두 기관은 보안 대책 설정을 재정비하는 등 위반 사항을 고치고, 유사 피해가 재발하지 않도록 기존의 로그인 방식을 변경했다”고 설명했습니다.

특히 개인정보위는 “대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크기 때문에 시스템의 특성을 살펴 로그인 시도가 증가하는 시기나 횟수 등을 분석해 보안 대책을 변경하는 등 유연한 대응 체계를 갖출 필요가 있다”고 답했습니다.

현재 개인정보보호법이 개정되면서 지난해 9월 이후 일어난 공공기관 개인정보 유출 건에 대해서는 제재 수위가 과태료에서 과징금 부과로 강화됐습니다.

[사진 출처 : 연합뉴스 / 개인정보보호위원회 제공]