CloudPNG

ºC

logo
IT/바이오

개인정보관리 구멍 드러난 국립항공박물관…보안경각심 커진다

한유빈 기자
입력

관리자 계정 관리 부실이 또다시 개인정보 유출 사고로 이어졌다. 국립항공박물관에서 3개에 불과한 관리자 계정을 20여명의 직원과 수탁업체 인력이 공동으로 사용한 사실이 드러나면서, 1만여명의 회원정보가 해커에게 유출되고 스미싱 문자까지 발송된 사건이 발생했다. 개인정보보호위원회는 기본적인 접근통제와 인증수단조차 제대로 갖추지 못한 공공 문화기관의 관리 부실을 중대 위반으로 판단해 과징금을 부과하고, 제재 내용을 1년간 공표하기로 하면서 공공·문화기관 전반의 개인정보보호 수준에 대한 경각심이 커지는 모습이다.  

 

개인정보보호위원회는 개인정보보호 법규를 위반한 국립항공박물관에 총 9800만원의 과징금을 부과하고, 처분 결과를 위원회 홈페이지에 1년 동안 공표하도록 의결했다고 11일 밝혔다. 개인정보위 조사에 따르면 해커는 국립항공박물관의 관리자 계정을 탈취해 관리자 페이지에 직접 접근했고, 이 과정에서 1만1029명의 회원정보를 다운로드했다. 유출된 정보에는 성명과 아이디뿐 아니라 성별, 생년월일, 주소, 연락처 등 민감한 식별정보가 광범위하게 포함됐다. 이후 공격자는 취득한 정보를 활용해 일부 회원들에게 악성 애플리케이션 설치 주소가 담긴 스미싱 문자까지 발송한 것으로 조사됐다.  

사건의 배경에는 관리 편의를 이유로 한 관리자 계정의 공동 사용과 허술한 접근통제가 자리하고 있었다. 국립항공박물관은 단 3개의 관리자 계정을 20여명의 내부 직원과 수탁업체 인력에게 공유해 사용해온 것으로 드러났다. 공공기관 정보보호 지침에서 강조하는 계정별 개별 발급과 최소 권한 원칙을 사실상 무시한 셈이다. 특히 이번 사건은 관리자 페이지에 외부 인터넷망에서도 별도 보안장치 없이 접속할 수 있도록 운영하면서, 접속 가능한 인터넷 주소를 제한하지 않은 상태에서 발생했다.  

 

인증수단 설계 역시 취약했다. 국립항공박물관은 공인인증서나 일회용 비밀번호 같은 추가 인증수단 없이 관리자 페이지 접속을 아이디와 비밀번호 조합 하나에만 의존했다. 다중요소인증을 적용한 다른 공공기관 사례와 비교하면 공격 난도가 크게 낮아지는 구조다. 여기에 더해 개인정보 취급자들의 접속기록을 정기적으로 점검하지 않아 비정상 접속 징후를 사전에 탐지·차단할 기회도 놓쳤다. 기본적인 로그인 이력 분석과 이상행위 탐지 체계를 갖추지 않은 점은 침해 사고 조기 발견 가능성을 크게 떨어뜨린 요인으로 지적된다.  

 

이번 제재는 공공부문에서 반복되는 계정 관리 부실과 접근통제 미비 문제에 경종을 울리는 조치로 해석된다. 개인정보위는 국립항공박물관의 사례를 통해, 공공·문화·교육기관 등 대규모 민감정보를 다루는 기관들이 관리자 계정 공유 관행을 중단하고, 인터넷망을 통한 외부 접속을 원칙적으로 제한하거나 가상사설망과 다중요소 인증 등 강화된 통신·인증 체계를 도입할 필요가 있다고 보고 있다. 한편 산업계에서는 이번 사건이 공공기관 보안 수준에 대한 전면 점검의 계기가 될 수 있는 만큼, 향후 공공 정보시스템 구축과 운영 사업 전반에서 접근통제, 계정 관리, 로그 모니터링 요구 수준이 높아질 가능성도 제기된다.  

 

개인정보 전문가들은 국립항공박물관 사례가 단일 기관의 관리 소홀을 넘어, 디지털 전환 과정에서 공공기관과 수탁업체 간 역할·책임 범위가 모호한 구조적 한계를 드러낸다고 지적한다. 특히 관리자 계정을 수탁업체 인력과까지 광범위하게 공유한 점은 위탁계약 단계에서부터 기술적·관리적 보호조치를 명시하고 이행 여부를 점검하는 체계가 부족했음을 상징적으로 보여준다. 관련 업계에서는 유사한 운영 관행을 가진 다른 기관에서도 유출 사고가 반복될 수 있다며, 기술적 보안조치와 함께 조직문화와 인력 교육 차원의 통합적인 개선이 병행돼야 장기적인 사고 예방이 가능하다는 분석을 내놓고 있다.  

 

산업계와 공공부문 전반은 이번 제재를 계기로 관리자 계정 관리 기준, 외부 접속 정책, 다중요소 인증 도입 여부 등을 재점검하는 한편, 로그 분석과 침해사고 대응 체계를 보완해야 한다는 압박을 받을 것으로 보인다. 개인정보위가 국립항공박물관에 대한 제재 내용을 공표하기로 한 만큼, 향후 유사한 침해사고에 대한 사회적 시선과 책임 요구도 한층 강화될 수 있다. 디지털 행정과 온라인 서비스 확대 흐름 속에서, 개인정보 보호를 위한 기술·조직·제도의 균형 있는 정비가 새로운 신뢰의 조건이 되고 있다.

한유빈 기자
share-band
밴드
URL복사
#국립항공박물관#개인정보보호위원회#개인정보유출