⁠⁠⁠⁠⁠⁠⁠

고학수 개인정보보호위원장이 지난 11일 정부서울청사에서 개최된 2025년 제13회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. 개인정보보호위원회 제공

개인정보보호위원회(개인정보위)는 전북대학교와 이화여자대학교에 개인정보보호법 위반으로 총 9억6600만원의 과징금 부과한다고 12일 밝혔다.

전날 열린 개인정보위 전체회의에 따라 32만여명의 개인정보를 유출한 전북대에 6억2300만원의 과징금과 540만원의 과태료를, 8만3000여명의 개인정보를 유출한 이화여대에는 3억4300만원의 과징금을 부과하기로 했다.

먼저 전북대는 지난해 7월 해커가 SQL인젝션 및 파라미터 변조 공격으로 학사행정정보시스템에 침입해 학생 및 평생교육원 홈페이지 회원의 주민등록번호 28만여 건을 포함한 32만여명의 개인정보를 탈취했다.

개인정보위 조사 결과, 해커는 학사행정정보시스템 비밀번호 찾기 페이지에 존재하는 취약점을 악용해 학번 정보를 입수한 후 학적정보 조회 페이지 등에서 약 90만 회의 파라미터 변조 및 무작위 대입을 통해 해당 개인정보에 접근한 것으로 파악되었다. 이 취약점은 2010년 12월 시스템 구축 당시부터 존재했다.

또 전북대는 기본적 보안장비는 갖추고 있었으나 외부공격 대응이 미흡했다. 일과시간 외엔 모니터링을 소홀히 해 주말·야간에 발생한 비정상적 트래픽 급증을 해커가 침입한 다음날에야 뒤늦게 인지했다.

이화여대의 경우 지난해 9월 해커가 시스템의 데이터베이스(DB) 조회 기능의 취약점을 악용한 파라미터 변조 공격으로 통합행정시스템에 침입해 학부생 및 졸업생 8만3000여명의 주민등록번호를 포함한 개인정보를 탈취했다.

개인정보위 조사 결과, 해커는 약 10만 회의 파라미터 변조 및 무작위 대입을 수행했다. 이 취약점 또한 2015년 11월 시스템 구축 당시부터 존재했다. 이화여대도 마찬가지로 기본적인 보안체계는 갖췄으나 외부공격 대응이 미흡했다. 일과시간 외엔 주말·야간 모니터링을 소홀히 하는 등 외부의 불법적인 접근 통제 조치가 부족했다.

개인정보위는 전북대·이화여대에 각각 과징금 처분을 내리면서 이를 대학 홈페이지에 공표하도록 명했다. 또, 각 대학에 상시 모니터링 체계를 구축하도록 시정명령을 내리면서 책임자에 대한 징계도 권고했다.

강대현 개인정보위 조사총괄과장은 이날 브리핑에서 "이들을 포함해 작년부터 올해 5월까지 전국 대학교에서 신고된 개인정보 유출 건수는 총 21건"이라며 "최근 대학에서 개인정보 유출 사고가 잇따라 발생하고 있다. 이를 감안해 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리를 철저하게 해주도록 전파할 것과, 관련 내용을 대학 평가 등에 반영하는 등 강화된 개인정보 보호조치를 검토해줄 것을 요청할 예정"이라 말했다.팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.