해커가 관리자 계정 탈취해 1만여 명 정보 다운로드
20여 명이 3개 계정 공유, IP 제한·인증수단도 없어


사진=국립항공박물관

허술한 보안이 1억 원 가까운 과징금으로 돌아왔다. 개인정보보호위원회(위원장 송경희)는 10일 관리자 계정 관리 부실로 개인정보를 유출한 국립항공박물관에 과징금 9,800만 원을 부과하고 처분 결과를 1년간 공표하기로 의결했다고 11일 밝혔다.

해커는 미상의 방법으로 국립항공박물관의 관리자 계정을 획득해 관리자 페이지에 접근한 뒤 회원 11,029명의 성명, 아이디, 성별, 생년월일, 주소, 연락처 등을 다운로드했다. 일부 회원에게는 악성 앱 주소가 포함된 스미싱 문자까지 발송한 것으로 조사됐다.

국립항공박물관의 보안 관리 실태는 심각한 수준이었다. 3개의 관리자 계정을 20여 명의 직원 및 수탁업체와 공유했으며, 외부에서도 관리자 페이지 접속이 가능하도록 운영하면서 접속 IP 주소 제한조차 하지 않았다. 인증서 등 안전한 인증수단 없이 아이디와 비밀번호만으로 접속 가능했고, 취급자들의 접속기록 점검도 이뤄지지 않았다고 개인정보위는 설명했다.

개인정보위는 국립항공박물관이 개인정보보호법상 안전조치 의무를 위반했다고 판단해 과징금 9,800만 원을 부과하고, 개인정보위 홈페이지에 1년간 처분 결과를 공표할 예정이다.