한국연구재단이 내부 시스템 관리를 소홀히 했다가 우리나라 연구자들을 비롯한 12만명 개인정보가 담긴 자료를 해킹당해 거액의 과징금을 물게 됐다.
뉴시스 보도에 따르면, 개인정보보호위원회는 전날 전체 회의를 열고 한국연구재단에 과징금 7억300만원과 과태료 480만원을 부과하기로 의결했다고 29일 밝혔다.
개인정보위 조사 결과, 해커에게 털린 자료는 성명, 아이디(ID), 이메일, 휴대전화번호, 계좌번호 등 총 44개 항목이다.
해커는 재단이 운영하는 온라인논문투고시스템(JAMS) 내 '비밀번호 찾기' 주소(URL) 취약점을 악용해 약 12만명의 회원 정보를 무단 열람했다.
해당 보안 취약점은 2013년부터 존재했으나, 재단 측은 1600여개에 달하는 학회 페이지에 대한 점검을 장기간 누락하며 사고를 방치했다.
사고 전 JAMS 웹방화벽에서 주민등록번호 탐지 신호가 포착됐다. 재단은 이를 잘못된 탐지(오탐·False Positive)로 간주해 후속 조치를 하지 않았다.
재단은 유출 사고 이후에도 충분한 시스템 개선 없이 운영을 지속했다. 결국 회원 명의가 도용되는 2차 피해까지 발생했다. 유출 사실을 통지하는 과정에서 계좌번호, 휴대전화번호 등 민감한 항목을 누락해 통지한 사실도 밝혀졌다.
개인정보위는 이번 사고를 '매우 중대한 사고'라고 분석했다. 연구재단에 대해 JAMS에 대한 취약점 점검을 실시하고, 누락된 항목을 포함해 개인정보 유출 통지를 다시 할 것을 시정명령했다.
아울러 국가 핵심 연구기관에 걸맞은 수준으로 개인정보 보호 체계를 갖출 것을 개선 권고했다. 책임자에 대한 징계도 함께 권고했다.
위반 상태가 장기간 지속된 점을 고려해 처분 결과를 개인정보위 홈페이지에 1년간 공표하고, 연구재단 홈페이지에도 공표하도록 명령했다.
개인정보위는 과학기술정보통신부와 교육부에 JAMS 관리 실태 점검을 강화하고, 산하 기관의 개인정보 보호 투자 확대를 요청했다. 또한 주요 공공기관의 보안 경각심을 높이고, 안전조치 의무 강화를 안내할 예정이다.
Copyright ⓒ 모두서치 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
