안전조치 소홀로 전북대와 이화여대가 각각 32만여명, 8만3000여명의 개인정보를 유출해 총 9억6600만원의 과징금을 물게 됐다.
개인정보보호위원회는 두 대학에 대해 개인정보보호법 위반으로 과징금과 과태료를 부과하고 시정‧공표명령 및 징계권고 등을 전날 전체회의에서 의결했다고 12일 밝혔다.
개인정보위는 개인정보 유출 신고에 따라 조사한 결과 이들 대학의 학사정보시스템 구축 당시부터 취약점이 존재했다. 또 야간이나 주말 등 일과시간 외에는 외부의 불법 접근을 탐지, 차단하는 모니터링이 제대로 이뤄지지 않는 등 보호법 상 안전조치 의무를 소홀히 한 것으로 나타났다.
전북대는 지난해 7월 28일부터 29일 사이, 해커가 에스큐엘(SQL) 인젝션과 파라미터 변조 공격을 통해 학사행정정보시스템에 침입, 약 32만여명의 개인정보가 유출됐다. 이 중 주민등록번호는 약 28만건에 달한다.
SQL 인젝션 공격은 데이터베이스(DB) 명령어를 악의적으로 조작해 서버를 오작동시켜 접근권한이 없는 정보를 열람 또는 변조하는 수법이다. 파라미터 공격은 웹이나 애플리케이션에서 입력된 데이터 검증 로직의 취약점을 노려 입력값을 조작해 개인정보를 탈취하는 기법이다.
개인정보위의 조사 결과 해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 악용해 전북대 학생과 평생교육원 홈페이지 회원 총 32만명의 개인정보에 접근했다. 해당 취약점은 2010년 12월 시스템 구축 당시부터 존재했다.
또 전북대는 외부 공격에 대한 대응이 미흡했고, 일과시관 외에는 모니터링을 소홀히 한 결과 주말과 야간에 발생한 비정상적 트래픽 급증 현상을 뒤늦게 인지했다.
이에 개인정보위는 전북대에 과징금 6억2300만원과 과태료 540만원을 부과하고, 대학 홈페이지에 공표하도록 명령했다. 이어 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령했으며 책임자에 대한 징계도 권고했다.
이화여대의 경우 지난해 9월 2일부터 3일 사이 해커가 파라미터 변조 공격으로 통합행정시스템에 침입해 학부생 및 학부 졸업생 8만3000여명의 주민등록번호를 포함한 개인정보를 탈취했다. 이화여대도 2015년 11월 시스템 구축할 당시부터 보안 취약점이 존재했다.
특히 이화여대도 기본적인 보안 체계는 갖추고 있었지만 외부 공격에 대한 대응이 미흡했고 주말이나 야간 모니터링도 소홀히 했다. 이에 개인정보위는 이화여대에 과징금 3억4300만원을 부과하고, 이를 대학 홈페이지에 공표하도록 명령했다.
또 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령하면서 책임자에 대한 징계도 권고했다.
두 대학의 해킹 사고로 인한 2차 피해는 아직 확인되지 않았으나 전북대의 경우 개인정보분쟁조정위원회에 100여건의 신청이 계류 중이다.
개인정보위는 최근 대학에서 개인정보 유출 사고가 잇따르는 점을 감안해 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리가 강화될 수 있도록 전파해 줄 것과 관련 내용이 대학 평가 등에 반영할 것을 검토해달라고 요청할 예정이다.
지난해부터 올해 5월말까지 전국 대학에서 21건의 개인정보 유출 신고가 접수됐다.
강대현 개인정보위 조사총괄과장은 “현재 대학들은 특성에 맞게 보안체계를 운영하는 노하우와 전문 인력이 부족한 것은 맞다”며 “교육당국과 함께 대학들이 (보안 체계에) 관심을 갖고 예산과 인력을 투입할 수 있도록 협의를 요청할 계획”이라고 말했다.
