개인정보 유출된 전북대·이화여대···총 9억6600만원 과징금 처분

▲ 강대현 개인정보보호위원회 조사총괄과장이 12일 오전 서울 종로구 정부서울청사에서 개인정보보호위원회(개인정보위) 전체회의에서 안전조치 소홀로 개인정보를 유출한 전북대학교와 이화여자대학교 등 2개대학에 과징금 9억 6,600만원을 부과하고 시정명령, 공표명령 및 징계권고를 하기로 했다고 발표하고 있다. 사진=뉴시스

투데이코리아=이기봉 기자 | 개인정보보호위원회(이하 개인정보위)가 안전조치를 제대로 하지 않아 개인정보를 유출한 전북대학교와 이화여자대학교에 10억원에 달하는 과징금을 부과했다.
 
개인정보위는 전날(11일) 개최된 제13회 전체회의에서 개인정보 보호법을 위반한 전북대와 이화여대에 총 9억 6600만원의 과징금과 540만원의 과태료를 부과하고 시정명령, 공표명령, 징계권고를 하기로 의결했다고 12일 밝혔다.
 
개인정보위는 개인정보 유출 신고에 따라 조사한 결과, 두 대학의 학사정보 시스템이 구축 당시부터 취약점이 존재했고 일과시간 이외에는 외부의 불법 접근을 탐지해 차단하는 모니터링이 제대로 이루어지지 않는 등 개인정보 보호법에 따른 안전조치 의무를 소홀히 한 점을 확인했다.
 
전북대에서는 지난해 7월 28~29일 이틀간 해커가 SQL 인젝션(데이터베이스 명령어 주입) 및 파라미터(입력값) 변조 공격으로 대학 학사행정정보시스템에 침입해 32만여명의 주민등록번호를 포함한 개인정보를 탈취했다.
 
해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 악용해 학번 정보를 입수한 후, 학적정보 조회 페이지 등에서 약 90만회에 달하는 파라미터 변조 및 무작위 대입을 통해 전북대 학생 및 평생교육원 홈페이지 회원의 개인정보에 접근한 것으로 조사됐다.
 
해당 시스템의 취약점은 2010년 12월 구축 당시부터 존재했던 것으로 전해졌다.
 
특히 전북대는 기본적 보안 장비를 갖췄으나 외부 공격에 대한 대응이 미흡했고, 일과시간 외에 모니터링을 소홀한 결과 주말·야간에 발생한 비정상적 트래픽 급증 현상을 뒤늦게 인지한 것으로 드러났다.
 
이화여대도 지난 2015년 11월 구축된 학사정보시스템에 해당 취약점이 존재했던 것으로 알려졌다.
 
해커는 지난해 9월 2~3일 10만회에 달하는 파라미터 변조 공격으로 통합행정시스템에 침입해 8만3000여명의 주민등록번호를 포함한 개인정보를 탈취했다.
 
또한 이화여대도 전북대와 동일하게 외부 공격에 대한 대응이 미흡했고 일과시간 외인 주말과 야간 모니터링을 소홀했던 것으로 밝혀졌다.
 
개인정보위는 전북대에 총 6억 2300만원의 과징금과 과태료 540만원을, 이화여대에는 총 3억 4300만원의 과징금을 부과했다.
 
또한 두 대학의 홈페이지에 이 사실을 공표하도록 명령하고, 모의해킹 등 취약점 강화 및 상시 모니터링 체계 구축 시정명령과 책임자에 대한 징계를 권고했다.
 
개인정보위 관계자는 “교육부에 전국 대학 학사정보관리시스템의 개인정보 관리가 강화될 수 있도록 전파해 줄 것과 관련된 내용을 대학 평가 등에 반영될 수 있도록 검토할 것을 요청하겠다”고 밝혔다.