국립항공박물관, 관리자 계정 관리 부실로 1만여 명 개인정보 유출...과징금 9,800만 원

20여 명이 3개 계정 공유, IP 제한·인증서 없이 ID·PW만으로 접속 가능하게 운영

[한국정보기술신문] 국립항공박물관이 관리자 계정 관리를 부실하게 운영해 1만여 명의 개인정보를 유출한 사실이 드러나 과징금 처분을 받았다. 개인정보보호위원회는 12월 10일 제26회 전체회의를 열고 개인정보 보호 법규를 위반한 국립항공박물관에 과징금 9,800만 원 부과 및 처분 결과 공표를 의결했다고 11일 밝혔다.

개인정보위 조사 결과에 따르면, 해커는 국립항공박물관의 관리자 계정을 미상의 방법으로 획득한 후 관리자 페이지에 접근해 11,029명의 회원정보를 다운로드했다. 유출된 정보에는 성명, 아이디, 성별, 생년월일, 주소, 연락처 등이 포함됐으며, 해커는 일부 회원들에게 악성 앱 주소가 포함된 스미싱 문자까지 발송한 것으로 확인됐다.

3개 관리자 계정을 20여 명이 공유

조사 과정에서 국립항공박물관의 심각한 보안 관리 실태가 드러났다. 박물관은 3개의 관리자 계정을 20여 명의 직원 및 수탁업체 직원과 공유하며 사용했다. 이는 개인정보 취급자를 특정할 수 없게 만들어 책임 소재를 불분명하게 하는 요인이 됐다.

더욱 심각한 문제는 관리자 페이지의 접근 통제가 사실상 무방비 상태였다는 점이다. 외부에서도 관리자 페이지 접속이 가능하도록 운영하면서 접속 IP 주소를 제한하지 않았으며, 인증서 등 안전한 인증수단 없이 아이디와 비밀번호만으로 접속할 수 있도록 설정돼 있었다. 또한 취급자들의 접속기록 점검도 이루어지지 않아 이상 징후를 사전에 포착할 수 있는 기회조차 없었던 것으로 파악됐다.

1년간 처분 결과 공표

개인정보위는 국립항공박물관의 안전조치 의무 위반을 인정하고 과징금 9,800만 원을 부과했다. 또한 개인정보위 홈페이지에 1년간 처분 결과를 공표할 예정이다. 이번 처분은 공공기관의 개인정보 보호 의무를 강화하고, 유사한 사고를 예방하기 위한 조치로 풀이된다.

개인정보위 관계자는 "관리자 계정은 대량의 개인정보에 접근할 수 있는 만큼 더욱 엄격한 관리가 필요하다"며 "다수가 공유하는 계정 운영, 접속 IP 제한 미실시, 취약한 인증 방식 등은 개인정보 유출 사고의 주요 원인"이라고 지적했다.

이번 사건은 공공기관의 정보보안 의식과 관리 체계가 여전히 취약함을 보여주는 사례로, 관리자 계정에 대한 체계적인 관리와 접근 통제, 정기적인 점검이 필수적임을 다시 한 번 일깨워주고 있다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org