[하비엔뉴스 = 강유식 기자] 개인정보보호위원회는 25일 한국고용정보원과 한국장학재단에 대해 각각 840만원의 과태료를 부과하고, 시스템 보안 대책을 정비하도록 개선권고하기로 했다고 밝혔다.
개인정보위는 지난해 6~7월 한국고용정보원의 구인·구직 사이트인 ‘워크넷’에 신원 미상의 자가 ‘크리덴셜 스터핑’ 방식으로 침입해 약 23만6000명의 개인정보가 유출된 사실을 확인했다.
 |
| 한국고용정보원과 한국장학재단이 ‘개인정보 유출’로 인해 개인정보위로부터 과태료를 부과받았다. [사진=픽사베이] |
또 한국장학재단 홈페이지 역시 고용정보원과 같은 방식에 의해 약 3만2000명의 개인정보가 유출된 것으로 확인됐다.
‘크리덴셜 스터핑’은 공격자가 다른 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격 가운데 하나로, 로그인 시도 횟수와 로그인 실패율이 급증하는 것이 특징이다.
두 기관 모두 크리덴셜 스터핑 공격에 로그인 시도가 일정 횟수 이상 실패할 경우 계정 잠금이나 암호 외 문자·OTT 인증 추가 등의 2단계 이상 인증에 대응할 수 있는 보안대책이 미흡했다는 것이 개인정보위의 판단이다.
개인정보위 조사 결과에 따르면, 워크넷에는 국내외 26개 IP를 통해 1초당 최대 166회, 총 4500만번 이상 로그인 시도가 있었고, 이 가운데 56만번 로그인에 성공(성공률 1.25%)한 기록이 확인됐다.
한국장학재단 홈페이지는 국내외 약 44만개 IP를 통해 1초당 최대 240회, 총 2100만번 이상 로그인 시도가 있었고, 이 가운데 3만6000번 로그인에 성공(성공률 0.17%)했다.
특히 고유식별정보(주민등록번호)를 암호화하지 않고 평문으로 저장한 위반 사항도 확인됐다.
개인정보위 관계자 “대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크기 때문에 시스템 보안 대책의 임계치를 조정하거나 대책을 변경하는 등의 대응 체계를 갖출 필요가 있다”며 “특히 지난해 9월15일 이후 발생한 공공기관의 개인정보 유출에 대해서는 제재 수위가 대폭 강화된 만큼 각별한 주의가 필요하다”라고 말했다.
한편 이번 정보유출 사건으로 인해 양 기관은 기존 로그인 방식을 변경한 것으로 알려졌다.
[ⓒ 하비엔뉴스. 무단전재-재배포 금지]
