`개인정보 유출 무방비` 고용정보원·장학재단에 과태료 처분

[국이]

`개인정보 유출 무방비` 고용정보원·장학재단에 과태료 처분

해커, 크리덴셜 스터핑 방식 사용...두 기관 모두 대책 미흡
워크넷 23만6000명·장학재단 3만2000명 정보 유출

개인정보위 제공개인정보보호위원회는 한국고용정보원과 한국장학재단에 각 840만원의 과태료를 부과하고 시스템 보안 대책도 정비하도록 개선 권고했다.

개인정보위에 따르면 작년 6~7월 한국고용정보원 '워크넷'에 신원 미상자가 '크리덴셜 스터핑' 방식으로 침입해 23만6000여명 개인정보가 유출됐으며 한국장학재단도 같은 방식으로 3만2000여명의 개인정보가 유출됐다. 크리덴셜 스터핑은 공격자가 다른 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용하여 성공할 때까지 시도하는 대입 공격 중 하나다.

두 기관은 24시간 감시 · 모니터링 체계는 갖추고 있었으나 로그인 시도와 실패율이 증가하는 크리덴셜 스터핑 공격에 대응할 수 있는 대책이 미흡했던 것으로 밝혀졌다.

개인정보위 조사결과에 따르면 워크넷은 국내외 26개 IP를 통해 1초당 최대 166회, 총 4500만번 이상 로그인 시도가 있었으며 56만번 로그인에 성공한 것으로 집계됐다. 한국장학재단 홈페이지는 국내외 44만여개 IP로 1초당 최대 240회, 총 2100만번 이상 시도가 있었으며 이 중 3만6000번 성공했다.

개인정보 유출 이후 양 기관은 보안 대책 설정을 재정비하는 등 위반 사항을 시정하는 한편, 유사 피해가 재발하지 않도록 기존의 로그인 방식을 변경했다.

개인정보위 관계자는 "대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험히 커 시스템 특성을 감안해 로그인 시도가 증가하는 시기와 횟수 등 분석을 통해 시스템 보안 대책의 임계치를 조정하거나 대책을 변경하는 등 유연한 대응 체계를 갖출 필요가 있다"며 "개인정보 보호법 개정에 따라 작년 9월 이후 발생한 공공기관 개인정보 유출은 제재 수위가 과태료에서 과징금으로 강화된 만큼 각별한 주의를 기울여달라"고 당부했다.

개인정보위 제공