개인정보보호위원회(위원장 고학수)가 지난 11일 개최된 제13회 전체회의에서 개인정보 보호법을 위반하여 개인정보를 유출한 전북대학교와 이화여자대학교에 총 9억 6,600만 원의 과징금과 540만 원의 과태료를 부과하고 시정명령, 공표명령 및 징계권고를 하기로 의결했다.

개인정보위에 따르면 전북대학교는 지난 7월 28일부터 29일까지 해커의 에스큐엘(SQL) 인젝션 및 파라미터 변조 공격으로 32만여 명의 개인정보가 유출되어 6억 2,300만 원의 과징금이 부과됐다. 

이화여자대학교는 9월 2일부터 3일까지 유사한 공격으로 8만 3천여 명의 개인정보가 유출되어 3억 4,300만 원의 과징금이 부과됐다.

◆ 전북대학교 약 32만명 개인정보 유출

전북대학교의 경우 해커가 학사행정정보시스템의 비밀번호 찾기 페이지 취약점을 악용해 학번 정보를 입수한 후, 학적정보 조회 페이지에서 약 90만 회의 파라미터 변조 및 무작위 대입을 통해 개인정보에 접근했다. 

유출된 개인정보는 주민등록번호 약 28만건을 포함한 약 32만여 명의 정보로 해당 취약점은 2010년 12월 시스템 구축 당시부터 존재했던 것으로 밝혀졌다.

특히 전북대학교는 기본적 보안 장비는 갖추고 있었지만 외부 공격에 대한 대응이 미흡했고, 일과시간 외에는 모니터링을 소홀히 한 결과 주말·야간에 발생한 비정상적 트래픽 급증 현상을 뒤늦게 인지했다.

개인정보위는 전북대학교가 1997년부터 2001년까지 당사자의 동의를 받아 수집한 주민등록번호 233건을 주민등록번호 수집 법정주의 도입(2014년 8월 7일) 이후에도 파기하지 않고 계속 보유한 위반사항도 확인했다고 밝혔다.

◆ 이화여자대학교 약 8만 3천명 개인정보 유출

이화여자대학교는 통합행정시스템의 데이터베이스 조회 기능 취약점을 악용한 파라미터 변조 공격으로 개인정보가 유출됐다. 

해커가 세션값과 조회 대상 정보가 불일치하는 경우에도 파라미터 변조를 통해 다른 사용자의 개인정보 조회가 가능한 취약점을 이용해 약 10만 회의 파라미터 변조 및 무작위 대입을 시도했다.

이화여자대학교 역시 해당 취약점이 2015년 11월 시스템 구축 당시부터 존재해 왔으며, 기본적인 보안 체계는 갖추고 있었으나 외부 공격에 대한 대응이 미흡했다. 

특히 동일한 아이피에서 타인의 개인정보를 반복적으로 조회 시도하는 경우 등에 대한 대응과 일과시간 외 주말·야간 모니터링이 소홀했던 것으로 밝혀졌다.

◆ 대학 특성상 파라미터 변조 공격에 취약

개인정보위는 대학의 경우 대개 생성규칙이 단순한 ‘학번’ 등을 기준으로 개인정보를 관리하고 있어 파라미터 변조 공격에 취약한 측면이 있다고 분석했다.

특히 대규모 고유식별정보를 처리하고 있어 유출 사고 발생 시 정보주체의 막대한 피해가 예상된다고 지적했다.

개인정보위는 최근 대학에서 개인정보 유출 사고가 잇따르는 점을 감안하여 교육부에 “전국 대학 학사정보관리시스템의 개인정보 관리가 강화될 수 있도록 전파해 줄 것과 관련 내용을 대학 평가 등에 반영될 수 있도록 검토해 줄 것”을 요청할 예정이라고 밝혔다.

◆ 처분 내용 및 향후 대응 방안

개인정보위는 전북대학교에 총 6억 2,300만 원의 과징금과 540만 원의 과태료를 부과하면서 이를 대학 홈페이지에 공표하도록 명령했다. 또한 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령 함과 동시에 책임자에 대한 징계도 권고했다.

이화여자대학교에는 총 3억 4,300만 원의 과징금을 부과하면서 대학 홈페이지 공표명령, 모의해킹 등 취약점 점검 강화 및 상시 모니터링 체계 구축 시정명령, 책임자 징계 권고 등 동일한 처분을 내렸다.

이번 처분은 대학이 파라미터 변조 공격에 대비하고 외부의 불법적인 접근 시도를 24시간 철저히 모니터링하는 등 각별한 주의가 필요하다는 점을 강조한다. 

개인정보위는 “지난해부터 지난 5월 말까지 전국 대학에서 21건의 개인정보 유출 신고가 접수됐다”며, “대학의 개인정보 관리 체계 전반에 대한 점검과 개선이 시급하다”는 입장을 표명했다.

[메디컬월드뉴스]

관련기사

• 개인정보위, 7월부터 건강관리앱·생성형 AI 등 개인정보 처리방침 집중 평가
• 개인정보위, 2025년 공공기관 개인정보 보호수준 평가계획 공개
• 개인정보위 ‘머크㈜·㈜디알플러스·㈜온플랫’ 등 보안 취약점 방치로 1억 2천만원 제재
• 개인정보위, 불법 접근통제 미흡 2개 사업자에 7,261만 원 제재
• 개인정보위, 법원행정처 제재…주민등록번호 유출과 안전조치 의무 위반