개보위는 지난해 11월 경북대로부터 개인정보 유출 신고를 받아 조사한 결과,
경북대 소속 학생 2명이 2021년 8월부터 학교 시스템의 보안 취약점을 악용해 무단 접속한 뒤 개인정보를 유출시켰다고 밝혔다.
해당 학생들은 주로 파라미터 변조(매개변수 위조)나 악성코드 업로드를 비롯해 비밀번호 관리가 소홀한 관리자 계정 취약점을 이용하는 등 다양한 방법으로 시도한 것이 밝혀졌다.
이에 따라 개보위는 주민등록번호가 유출된 경북대와 숙명여대의 경우, 접근 권한 관리와 접근 통제 등 개인정보 보호법상 안전조치 의무를 위반한 사실이 드러나 경북대에는 5,750만 원의 과징금과 720만 원의 과태료를, 숙명여대에는 3,750만 원의 과징금과 300만 원의 과태료를 부과했다.
공공기관의 개인정보 유출 건수가 많아짐에 따라 보안인식 강화 및 보안 인력 충원이 절실하게 필요하다.
파라미터 변조(매개변수 위조)
대응방법 :
서버 사이드 스크립트를 이용하여 검증 로직을 구현한다.
악성코드 업로드
대응방법 :
웹 애플리케이션의 기능에 맞게 업로드 확장자를 추출하고 화이트 리스트 방식으로 허가된 확장자만 업로드할 수 있게 로직을 구현해야 한다. 또 업로드되는 파일의 서버는 서버 사이드 스크립트가 실행되지 않는 별도의 애플리케이션을 사용해야 한다.
비밀번호 관리가 소홀한 관리자 계정
대응방법:
1. 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성해야한다.
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고한다.
3. 비밀번호에 유효기간을 설정하여 반기 별 1회 이상 변경해야한다.
