관리자 계정 탈취로 개인정보 유출 발생

관리자 계정 탈취로 개인정보 유출 발생

의료기기 서비스 기업 두 곳에서 관리자 계정 탈취로 인해 총 1만여 명의 개인정보가 유출되는 사건이 발생했다. 개인정보보호위원회는 조사 결과 두 기업 모두 추가 인증 미적용, 접속기록 관리 부실, 관리자 계정 공유 등 기본적인 보안원칙을 어긴 사실을 확인하고 과징금 1억 8,820만 원, 과태료 780만 원을 부과했다.

1. 하스 — 관리자 페이지 무방비 운영

해커가 관리자 계정을 탈취해 733명의 개인정보를 유출하고 다크웹에 게시
관리자 페이지에 추가 인증수단 없음
접속기록 미보관, 유출 신고 지연
외부 접속 제한 및 인증 강화 조치 미적용

하스는 관리자 페이지를 외부 접속 가능 상태로 열어두었지만 ID·비밀번호 외의 어떠한 2차 인증도 적용하지 않은 상태였다. 또한 개인정보가 다크웹에 게시됐다는 KISA의 통보가 있었음에도 신고와 이용자 통지를 지연해 비판을 받았다.

2. 바텍엠시스 — 1개 관리자 계정 공유로 9,637명 대량 유출

관리자 계정 공유 사용
외부 접속 허용 + 2차 인증 없음
9,637명 개인정보 다운로드 후 유출
접속기록 점검 미흡

바텍엠시스는 여러 직원이 하나의 관리자 계정을 공유해 사용했고, 외부 접속을 허용하면서도 오직 ID·비밀번호만으로 인증이 이루어졌다. 이로 인해 해커가 계정을 탈취하자 즉시 대량의 개인정보 유출로 이어졌다.

3. 관리자 페이지 해킹은 2024년 전체 유출 사고 중 최다

개인정보위 조사에 따르면 2024년 발생한 개인정보 유출 사고 중 가장 많은 원인이 바로 관리자 페이지 비정상 접속이었다. 관리자 페이지는 조회·다운로드 권한이 집중되어 있어 단 한 번의 침해로도 대규모 유출로 이어질 수 있는 고위험 영역이다.

이에 개인정보위는 다음을 강력 권고했다:

• 관리자 페이지 IP 기반 접근 제한
• 외부 접속 시 2차 인증(OTP·보안토큰·인증서 등) 필수 적용
• 관리자 계정 공유 금지
• 불필요한 관리자 권한 최소화
• 접속기록 점검 및 웹 취약점 정기 점검
• 최신 보안 패치 적용

4. 이번 제재의 의미

이번 조치는 단순한 기술적 문제를 넘어 관리자 계정 보호 실패가 어떤 위험을 초래하는지 잘 보여주는 사례다. 기초 보안조치가 지켜지지 않은 경우, 기업 규모와 무관하게 대규모 개인정보 유출이 발생할 수 있음을 확인한 사건이다.