개인정보보호위원회는 전북대학교와 이화여자대학교에서 발생한 개인정보 유출 사고와 관련해 두 대학에 총 9억 6600만 원의 과징금과 540만 원의 과태료를 부과하고, 시정명령과 징계 권고 등을 결정했다.
12일 정부서울청사에서 열린 개인정보위 브리핑에 따르면, 전북대에는 6억2300만 원, 이화여대에는 3억4300만 원의 과징금이 각각 부과됐다. 전북대에는 추가로 540만 원의 과태료가 부과됐다.
개인정보위는 이들 대학에 시정명령, 공표명령, 그리고 관련 책임자에 대한 징계 권고 조치도 함께 의결했다.
조사에 따르면 전북대에서는 작년 7월 주말 동안 총 32만여 명의 개인정보가 유출됐다. 이 중 주민등록번호 유출만 약 28만 건에 달한다. 해당 취약점은 2010년 학사행정정보시스템 구축 당시부터 존재했던 것으로 확인됐으며, 해커는 이를 악용해 학번 정보를 입수한 뒤 약 90만 회에 걸쳐 무작위 입력값 조작을 시도했다.
개인정보위는 이 대학이 2014년 이후 폐기했어야 할 주민등록번호도 지속 보유하고 있었던 점을 위법 사항으로 지적했다.
이화여대 역시 작년 9월, 유사한 방식의 공격으로 8만3000여 명의 개인정보가 유출됐다. 통합행정시스템의 세션값 검증 미비로 인해 동일 사용자의 권한으로 다른 사용자의 정보를 조회할 수 있는 구조적 취약점이 존재했고, 해커는 약 10만 회의 파라미터 변조 시도를 통해 침입에 성공했다.
해당 취약점 또한 2015년 시스템 도입 시부터 존재했던 것으로 나타났다.
개인정보위는 두 대학 모두 기본적인 보안 시스템은 갖추고 있었지만, 주말이나 야간 등 비업무 시간대에 외부 공격을 실시간으로 탐지하고 대응하는 모니터링 체계가 부실해 사고 대응이 늦어졌다고 판단했다.
이에 따라 상시 모니터링 체계 구축, 모의해킹 등 취약점 점검 강화와 함께 위반 사실을 홈페이지에 공표하도록 명령했다.
Copyright ⓒ 아주경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
