[개인정보보호위원회]경북대 등 개인정보보호 법규 위반 6개 공공기관 제재

경북대 등 개인정보보호 법규 위반 6개 공공기관 제재
- 경북대 등 6개 대학·단체, 동일인 해킹으로 개인정보 81만여 건 유출
- 보호법상 의무 위반에 대해 총 1억 2,080만 원의 과징금·과태료 부과
- 보호법 개정으로 9월 이후 발생한 공공기관 유출사고의 처분 기준이 높아져 각별한 주의 필요


개인정보위는 10월 11일 전체회의를 열고 경북대학교 등 6개 대학·단체에 대해 총 1억 2,080만 원의 과징금·과태료 부과를 의결하였다.

※ 경북대 : 과징금 5,750만원·과태료 720만원 / 숙명여대 : 과징금 3,750만원·과태료 300만원 / 경북대 총동창회 : 과태료 420만원 / 구미대학교 : 과태료 420만원 / 대구가톨릭대학교 : 과태료 360만원 / 대구한의대학교 : 과태료 360만원

작년 11월 경북대학교 측으로부터 개인정보 유출신고를 접수받아 조사한 결과, 경북대학교 소속 학생 2명이 ’21.8월부터 학교 시스템 보안 취약점을 악용해 파라미터 변조(매개변수 위조), 웹셸(악성코드) 업로드, 관리자계정 취약점(비밀번호 관리 소홀) 이용 등 다양한 방법으로 여러 시스템에 무단 접속하였고 이후 유사한 방법으로 학교 관련 단체나 주변 대학으로 공격 범위를 확대해 나간 사실을 확인하였다.

이를 통해 경북대학교 등 6개 대학·단체에서 총 81만여 건의 개인정보가 유출되었으며, 유출 항목에는 학교 구성원들의 성명·학번·연락처 등을 비롯하여 주민등록번호도 2만여 건이 포함된 사실이 드러났다.

특히, 주민등록번호가 유출된 경북대학교와 숙명여자대학교의 경우, 접근 권한 관리, 접근 통제 등 ｢개인정보 보호법｣상 안전조치 의무를 위반한 사실을 확인하였고, 경북대학교에는 5,750만 원의 과징금과 720만 원의 과태료를, 숙명여자대학교에는 3,750만 원의 과징금과 300만 원의 과태료를 부과하였다.

이외에도 접근 통제 등 안전조치 의무 위반 사실이 확인된 4개 대학·단체에 대해서도 360만 원에서 420만 원의 과태료를 각각 부과하였다.

현재는 공공기관의 경우 주민등록번호 유출시에만 과징금 대상이지만, 앞으로는 개정된 「개인정보 보호법」에 따라 공공기관도 개인정보가 유출되면 과징금 부과 대상이 될 수 있다.

공공기관 관련 개인정보 유출에 대한 제재 수위가 과거에 비해 대폭 강화된 만큼 보다 세심한 관심을 기울일 필요가 있다. 특히, 디지털 전환의 가속화로 웹 취약점을 악용한 사이버 공격이 꾸준히 피해를 일으키고 있어 웹 취약점 점검을 상시적으로 실시하는 한편, 내부 관계자에 의한 해킹 시도에도 각별한 주의가 요구된다.


* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사총괄과 이충범(02-2100-3106), 김승철(02-2100-3107)
[자료제공 :(www.korea.kr)]