81만명의 개인정보가 유출된 경북대학교 등 6개 대학·단체에 대해 총 1억 2080만 원의 과징금과 과태료가 부과됐다. 개인정보 보호를 위한 조처를 소홀히 한 KB국민은행 등 3개 사업자도 과징금·과태료 처분을 받거나 개선 권고를 받았다.
개인정보보호위원회는 11일 열린 전체회의에서 개인정보보호 법규를 위반한 경북대학교 등 6개 대학·단체에 대해 총 1억 2080만 원의 과징금과 과태료 부과 처분을 심의·의결했다고 12일 밝혔다.
경북대가 과징금 5750만원·과태료 720만원으로 가장 많았으며 △숙명여대 과징금 3750만원·과태료 300만원 △경북대 총동창회 과태료 420만원 △구미대 과태료 420만원 △대구가톨릭대 과태료 360만원 △대구한의대 과태료 360만원이다.
개보위는 지난해 11월 경북대측으로부터 개인정보 유출신고를 계기로 조사에 착수한 결과, 경북대 소속 학생 2명이 2021년 8월부터 학교 시스템 보안 취약점을 악용해 파라미터 변조(매개변수 위조), 웹셸(악성코드) 업로드, 관리자 계정 취약점(비밀번호 관리 소홀) 이용 등 다양한 방법으로 여러 시스템에 무단 접속한 사실을 파악했다.
이후 이들은 유사한 방법으로 학교 관련 단체나 주변 대학으로 공격 범위를 확대해 나간 사실도 확인했다. 이를 통해 경북대학교 등 6개 대학·단체에 총 81만여 건의 개인정보가 유출됐으며, 유출 항목에는 학교 구성원들의 성명·학번·연락처 등을 비롯한 주민등록번호도 2만여 건이 포함된 사실이 드러났다.
개보위는 주민등록번호가 유출된 경북대와 숙명여대는 접근 권한 관리 등 개인정보 보호법상 안전조치 의무를 위반했으며. 나머지 4개 대학에서도 접근 통제 등 안전조치 의무 위반 사실이 확인됐다고 설명했다.
이밖에도 개보위는 개인정보보호 법규를 위반한 슈나이더일렉트릭코리아, 신일전자, 국민은행 등 3개 사업자에 대해 총 2억 3199만 원의 과징금과 1620만 원의 과태료 부과 및 개선권고 처분도 심의·의결했다.
업체별로는 △슈나이더일렉트릭코리아 과징금 799만 원·과태료 420만 원 △신일전자 과징금 2억 2400만 원·과태료 1080만 원 △국민은행 과태료 120만 원, 개선권고 등이다.
개보위 조사 결과에 따르면 슈나이더일렉트릭코리아와 신일전자는 개인정보 안전조치의무를 소홀히 해 해킹으로 이용자 개인정보와 관리자 계정 탈취가 이뤄졌다. 여기에 신일전자는 개인정보 수집 당시 명시한 보유기간을 경과한 개인정보를 파기하지 않은 사실과 개인정보 유출 통지를 지연한 사실도 추가로 개보위 조사 결과 드러났다.
국민은행은 알뜰폰(MVNO) 이동통신 서비스 관련 웹사이트 운영 과정에서 아이피(IP) 주소 등 개인정보 수집과 관련해 정보 주체에게 필수·선택 사항을 구분하지 않고 동의를 받은 사실이 개보위 조사 결과 확인됐다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >