2년 전 북한 해킹조직에 환자 81만명의 정보를 탈취 당한 서울대병원이 과징금 약 7500만원을 물게 됐다. 국토교통부도 관리 소홀로 2만7000여명의 주민등록번호를 노출시켜 과징금 2500만원이 부과됐다. 지난해 ‘신당역 살인사건’ 당시 전 직원에게 과도한 접근권을 줘 문제가 된 서울교통공사도 과태료 360만원을 내게 됐다.
개인정보보호위원회는 10일 전체회의에서 공공기관 14곳의 개인정보보호 법규 위반에 대해 심의해 서울대병원과 국토부 등 2곳에는 공공기관 최초로 과징금을 부과했다.
그 외 12곳에 대해서도 과태료 부과와 시정명령을 의결했다.
서울대병원에서는 개인정보 보호가 소홀해, 해커가 2021년 6월 웹쉘(업로드 취약점을 활용한 코드)을 실행한 후 내부망 공유폴더를 탐색하고 1만89명의 주민번호와 2만2020명의 개인정보를 탈취했다. 이 해커는 확보한 계정정보로 병리자료 서버에 침입한 후 환자 62만2930명(사망자 포함하면 81만38명)의 진료정보를 가져갔다. 또 내부망 전자사보DB에 접속해 직원 1953명의 정보도 빼갔다.
개인정보위는 서울대병원에 과징금 7475만원과 과태료 660만원을 부과했다.
국토부는 건축행정시스템 수정 과정에서 오류로 약 16시간 동안 2만7631명의 주민등록번호를 고스란히 열람할 수 있도록 해 과징금 2500만원을 물게 됐다.
서울교통공사는 직위 해제된 직원의 개인정보 접근권한을 바로 말소하지 않는 등 안전조치를 소홀히 했음이 확인돼 과태료 360만원을 처분 받았다. 서울교통공사는 지난해 9월 신당역 스토킹 살인사건의 가해자가 재직 중이 아님에도 다른 직원의 주소지를 검색할 수 있도록 과도한 접근권을 줬다.
개인정보위는 개인정보가 포함된 서류를 재활용 분리장에 방치해 기자가 이 서류 일부를 촬영할 수 있게 한 서울 강남구에 과태료 600만원을 부과했다.
이외에도 개인정보가 적힌 서류를 잘못 발송하는 등 부주의한 기관 10곳에 과태료 300만∼1560만원을 내도록 했다.
한편 경찰청 국가수사본부(국수본)는 2년전 발생한 서울대병원 개인정보 유출사건을 북한 해킹조직이 벌인 정황을 확인했다고 이날 밝혔다. 경찰은 북한 해킹조직이 서울대병원에서 진료받은 주요 인사의 개인정보를 탈취하려고 해킹을 실행한 것으로 추정했다.
경찰은 서버에 접속한 공격 근원지의 IP 주소와 IP 주소 세탁 기법 등이 기존 북한 해킹조직의 수법과 동일하다는 사실을 확인했다. 또 해킹용 서버의 사용자 이름·이메일이 과거 북한 해킹조직이 사용한 정보와 같다는 점도 파악했다. 북한 해킹조직이 서울대병원 내부망에 생성한 가짜 계정의 비밀번호는 ‘다치지 말라’였다.
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]