개인정보위, '개인정보 유출' 한국고용정보원·한국장학재단에 과태료... "주민등록번호도 암호화 없이 보관"

개인정보보호위원회(이하 개인정보위)는 ‘크리덴셜 스터핑’ 공격으로 개인정보 유출 사고가 발생한 한국고용정보원과 한국장학재단에 과태료를 부과하고, 시스템 보안대책 개선을 권고했다. 조사 결과 한국고용정보원과 한국장학재단에서는 각각 23만6000여명·3만2000여명의 개인정보가 유출됐으며, 두 기관 모두 이용자의 주민등록번호를 암호화하지 않고 보관한 것으로 나타났다.

개인정보위는 24일 전체회의를 열고 한국고용정보원과 한국장학재단에 대해 각 840만 원의 과태료를 부과하고, 시스템 보안 대책을 정비하도록 개선 권고했다고 밝혔다. 지난 6~7월 한국고용정보원이 운영하는 취업 전문 포털 ‘워크넷’과 한국장학재단 홈페이지는, ‘크리덴셜 스터핑’으로 인해 각각 23만6000여명과 3만2000여명의 개인정보가 유출됐다.

개인정보위에 따르면 두 기관은 모두 24시간 감시·모니터링 체계를 갖추고 있었으나, 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책이 미흡했던 것으로 확인됐다. 크리덴셜 스터핑이란 해커가 미리 확보한 이용자 정보를 다른 계정에 무작위로 대입해 사용자의 계정을 탈취하는 공격 방식이다. 크리덴셜 스터핑 공격의 급증에 따라 많은 기관에서 2단계 인증 등의 대책을 마련하고 있으나, 두 기관에서는 이러한 보안대책이 미흡했던 것이다.

조사결과에 따르면 워크넷에는 국내외 26개 IP를 통해 4500만 번 이상 로그인 시도가 발생했으며, 한국장학재단 홈페이지에는 국내외 44만여 개 IP를 통해 총 2100만 번 이상의 로그인 시도가 확인됐다. 특히 5년간 약 106억원의 보안 예산을 투자한 워크넷의 경우, 로그인 시도 누적에 따른 보안문자 입력 요구 등의 안전 대책을 수립하지 않아 피해가 컸던 것으로 나타났다.

앞서 한국장학재단이 밝힌 유출 가능성이 있는 개인정보 항목은 ▲성명 ▲이메일 ▲주소 ▲휴대폰 번호 ▲고객번호 ▲학자금대출 신청현황 등 14종이며, 한국고용정보원의 워크넷은 ▲이름 ▲성별 ▲출생년도 ▲주소 ▲일반전화 ▲휴대전화 ▲이메일 ▲학력 ▲경력 ▲증명사진 등 18종이다. 아울러 개인정보위는 조사 결과 기관이 모두 고유식별정보(주민등록번호)를 암호화하지 않고 평문으로 저장한 사실을 확인했다고 덧붙였다.

한편 한국장학재단은 피해가 발생한 직후 로그인 방식을 인증서 기반으로 변경했으며, 워크넷은 개인정보 유출 사고 발생 이후 한 달여 만에 인증서 기반 로그인 방식을 도입했다. 변경된 로그인 방식은 금융인증서·아이핀·공동인증서·간편인증(네이버, PASS, 페이코, 신한 인증서, KB 모바일 인증서, 토스, 삼성패스, 카카오톡) 등으로, 보안정책 강화를 위해 기존의 네이버·카카오 등 소셜 계정과 연동하는 로그인 서비스는 중단됐다.