'수십만명 개인정보 유출' 한국고용정보원·한국장학재단, 과태료 각 840만원

개인정보위, 전체회의 열고 과태료 부과 결정…시스템 보안대책 정비 권고

고학수 개인정보보호위원장이 24일 서울 종로구 정부서울청사에서 열린 개인정보보호위원회 제2회 전체회의에서 모두발언을 하고 있다. 2024.1.24/뉴스1 ⓒ News1 허경 기자

(서울=뉴스1) 이기림 기자 = 홈페이지를 통해 수십만명의 개인정보가 유출된 한국고용정보원과 한국장학재단에 각 840만원의 과태료가 부과됐다.

개인정보보호위원회는 지난 24일 전체회의를 열어 한국고용정보원과 한국장학재단에 대해 이같은 과태료를 부과하기로 했다고 25일 밝혔다. 시스템 보안 대책도 정비하도록 개선권고하기로 했다.

개인정보위는 지난해 6∼7월 한국고용정보원의 구인·구직 사이트 '워크넷'에 신원 미상의 자가 크리덴셜 스터핑(Credential Stuffing) 방식으로 침입해 23만6000여명의 개인정보가 유출된 사실을 확인했다. 한국장학재단 홈페이지에서도 동일한 방식으로 3만2000여명의 개인정보가 유출된 사실을 확인했다.

크리덴셜 스터핑은 공격자가 다른 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격 중 하나다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징이 있다.

두 기관 모두 24시간 감시·모니터링 체계는 갖추고 있었으나, 로그인 시도 및 실패율이 증가하는 형태의 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책은 미흡했던 것으로 밝혀졌다.

개인정보위 조사결과에 따르면 워크넷에는 국내외 26개 아이피(IP)를 통해 1초당 최대 166회, 총 4500만번 이상 로그인 시도가 있었고 이 중 56만번 로그인에 성공한 기록(성공률 1.25%)이 확인됐다.

한국장학재단 홈페이지에는 국내외 44만여개 아이피를 통해 1초당 최대 240회, 총 2100만번 이상 로그인 시도가 있었고, 이 중 3만6000번 로그인에 성공한 기록(성공률 0.17%)이 확인됐다. 조사 과정에서 고유식별정보(주민등록번호)를 암호화하지 않고 평문으로 저장한 위반 사항도 확인됐다.

두 기관은 사건 이후 보안 대책 설정을 재정비하는 등 위반 사항을 시정하는 한편, 유사 피해가 재발하지 않도록 기존의 로그인 방식을 변경했다.

개인정보위 관계자는 "대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크다"며 "시스템의 특성을 감안해 로그인 시도가 증가하는 시기 및 횟수 등에 대한 분석을 통해 시스템 보안 대책의 임계치를 조정하거나 대책을 변경하는 등 유연한 대응 체계를 갖출 필요가 있다"고 밝혔다.

그러면서 "특히 개인정보 보호법 개정에 따라 지난해 9월15일 이후 발생한 공공기관의 개인정보 유출에 대해서는 제재 수위가 대폭 강화된 만큼, 기관 차원의 각별한 주의를 기울여달라"고 당부했다.

lgirim@news1.kr