국내 주요 대학에서 수십만 명의 개인정보가 유출되는 사고가 발생해 개인정보보호위원회가 대규모 제재에 나섰다.
개인정보위는 지난 11일 열린 제13회 전체회의에서 개인정보 보호법 위반 혐의로 전북대학교와 이화여자대학교에 총 9억6600만 원의 과징금과 540만 원의 과태료를 부과하고, 시정명령과 공표명령, 징계 권고를 결정했다고 12일 밝혔다.
전북대학교는 2024년 7월 28일부터 이틀간 발생한 해킹 공격으로 약 32만 명의 개인정보가 유출됐다. 해커는 2010년 시스템 구축 당시부터 존재해온 취약점을 이용해 비밀번호 찾기 페이지를 뚫었고, 무작위 파라미터 변조 방식으로 학적정보 페이지를 통해 개인정보를 탈취했다. 유출된 정보 중에는 주민등록번호도 약 28만 건 포함돼 있다.
이화여대교정/사진=연합뉴스
이화여자대학교 역시 2024년 9월 초 유사한 방식의 파라미터 변조 해킹 공격을 받아 약 8만3000명의 개인정보가 유출됐다. 해커는 데이터베이스(DB) 조회 기능의 취약점을 이용해 세션값 검증이 미흡한 점을 노리고 다른 사용자의 정보를 반복 조회한 것으로 조사됐다.
두 대학 모두 해당 취약점이 시스템 도입 초기부터 존재했으며, 일과시간 외 주말 및 야간 시간대에 외부 접근에 대한 모니터링이 소홀했던 것으로 드러났다. 개인정보위는 전북대에 6억2300만 원, 이화여대에 3억4300만 원의 과징금을 부과하고, 각 대학 홈페이지에 이를 공표하도록 했다. 또한 모의해킹 등 취약점 점검 강화와 상시 모니터링 체계 구축을 명령하고, 관련 책임자에 대한 징계도 권고했다.
개인정보위 관계자는 “대학의 학번 기반 정보 관리 체계는 파라미터 변조 공격에 취약하고, 주민등록번호 등 고유식별정보를 대규모로 다루는 특성상 유출 시 피해가 크다”며 “대학들이 24시간 모니터링 체계를 갖추는 등 철저한 보안 조치가 필요하다”고 강조했다.
한편 개인정보위는 유사 사고 재발 방지를 위해 교육부에 전국 대학의 학사정보시스템 보안 강화를 요청하고, 대학 평가에 해당 내용을 반영하는 방안도 검토해줄 것을 전달할 예정이다.