보안대책 미흡으로 수십만 명의 개인정보를 유출한 한국고용정보원과 한국장학재단에 대해 각각 과태료 840만원이 부과됐다.
개인정보보호위원회는 지난 24일 제2회 전체 회의를 열고 이같이 의결했다고 25일 밝혔다.
개인정보위에 따르면 지난해 6∼7월 한국고용정보원의 '워크넷' 사이트에 신원 미상의 인물이 '크리덴셜 스터핑' 방식으로 침입해 23만6000여명의 개인정보를 탈취했다. 한국장학재단에서도 동일한 방식으로 3만2000여명의 개인정보가 유출됐다.
'크리덴셜 스터핑'은 타 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도하는 해킹 공격이다. 해당 해킹 공격이 이뤄지면 로그인 시도 횟수와 로그인 실패율이 급증하는 점이 특징이다.
개인정보위는 두 기관 모두 24시간 감시·모니터링 체계를 갖추고 있었지만, 크리덴셜 스터핑 공격에 대응하는 보안 대책이 미흡했던 것을 확인했다. 주민등록번호 등 고유 식별정보를 암호화하지 않고 저장한 사실도 발견했다.
개인정보위는 각 기관에 과태료 840만원을 부과하고, 시스템 보안 대책을 정비할 것을 권고했다. 이들 기관은 다만 사건이 발생한 이후 두 기관은 보안 대책 설정을 재정비하고, 유사한 피해가 재발하지 않도록 기존의 로그인 방식을 변경했다.
개인정보위 관계자는 "대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크다"며 "기관 차원의 각별한 주의가 필요하다"고 했다.