한국고용정보원과 한국장학재단이 개인정보 유출로 각각 840만 원의 과태료를 부과받았다.
개인정보위는 24일 전체회의를 열고 두 기관에 대한 과태료 부과와 개인정보 관리 시스템 보안 대책을 정비하도록 권고했다고 25일 밝혔다.
개인정보위는 지난해 6월부터 한 달간 한국고용정보원의 구인·구직 사이트인 ‘워크넷’에 신원 미상의 자가 ‘크리덴셜 스터핑’(사전에 여러 방법으로 확보한 아이디와 비밀번호로 로그인을 시도) 방식으로 침입해 23만6000여 명의 개인정보가 유출된 사실을 확인했다.
한국장학재단 홈페이지에서도 동일한 방식으로 3만2000여 명의 개인정보가 유출된 사실이 개인정보위 조사 결과 드러났다.
개인정보위 조사결과에 따르면 워크넷에는 국내외 26개 아이피(IP)를 통해 1초당 최대 166회, 총 4500만 번 이상 로그인 시도가 있었고 이 중 56만 번 로그인에 성공(성공률 1.25%)한 기록이 확인됐다. 한국장학재단 홈페이지에의 경우 국내외 44만여 개 아이피를 통해 1초당 최대 240회, 총 2100만 번 이상 로그인 시도가 있었고 이 중 3만6000번 로그인에 성공(성공률 0.17%)한 기록이 확인됐다.
두 기관 모두 24시간 감시·모니터링 체계를 갖췄지만 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책은 미흡했다고 개인정보위는 설명했다. 이에 양 기관은 유사 피해가 재발하지 않도록 기존의 로그인 방식을 변경했다.
개인정보위 관계자는 “대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크기 때문에 시스템 특성을 감안해 로그인 시도가 증가하는 시기 및 횟수 등에 대한 분석을 통해 시스템 보안 대책의 임계치를 조정하거나 대책을 변경하는 등 유연한 대응 체계를 갖출 필요가 있다”고 말했다.