SBS Biz

개인정보보호위원회가 안전조치 소홀로 개인정보를 유출한 전북대와 이화여대에 9억 6천600만원의 과징금을 부과했습니다.

개인정보위는 개인정보 보호법을 위반해 개인정보를 유출한 전북대학교와 이화여자대학교에 9억 6천600만원의 과징금과 540만원의 과태료를 부과하고 시정명령·공표명령·징계권고를 내린다고 오늘(12일) 밝혔습니다. 



개인정보위는 두 대학의 학사정보 시스템에 구축 당시부터 취약점이 존재하고 일과시간 외 야간·주말에는 외부의 불법 접근을 탐지해 차단하는 모니터링이 제대로 이루어지지 않는 등 보호법에 따른 안전조치의무를 소홀히 한 사실을 확인했다고 설명했습니다.

전북대의 경우 지난해 7월 28일부터 같은 해 7월 29일까지 해커가 에스큐엘(SQL) 인젝션(데이터베이스 명령어 주입)·파라미터(입력값) 변조 공격을 통해 32만여 명의 개인정보(주민등록번호 28만여 건 포함)를 탈취했습니다.

개인정보위는 조사 결과 해커가 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 악용해 학번 정보를 입수한 후 학적정보 조회 페이지 등에서 90만 회의 파라미터 변조·무작위 대입을 통해 전북대 학생·평생교육원 홈페이지 회원 32만여 명의 개인정보에 접근한 것으로 파악했습니다.

해당 취약점은 시스템 구축 당시부터 존재한 것으로 확인됐습니다.



아울러 전북대는 외부 공격에 대한 대응이 미흡하고 특히 일과시간 외에는 모니터링을 소홀히 한 결과 주말·야간에 발생한 비정상적 트래픽 급증 현상을 지난해 7월 29일 오후 뒤늦게 인지한 것으로 드러났습니다.

이에 개인정보위는 전북대에 6억 2천300만 원의 과징금과 540만 원의 과태료를 부과하면서 이를 대학 홈페이지에 공표하도록 명령했습니다.

또 개인정보위는 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령을 내리고 책임자에 대한 징계도 권고했습니다.

이화여대의 경우 지난해 9월 2일부터 같은 해 9월 3일 해커가 시스템의 데이터베이스(DB) 조회 기능의 취약점을 악용한 파라미터 변조 공격으로 이화여대 통합행정시스템에 침입해 8만 3천여 명의 주민등록번호를 포함한 개인정보를 탈취했습니다.

개인정보위는 조사 결과 해커는 통합행정시스템에 접근해 10만 회의 파라미터 변조·무작위 대입을 통해 이화여대 학부생·학부 졸업생 8만 3천여 명의 개인정보를 탈취한 것으로 드러났습니다.

이화여대 역시 이러한 취약점이 시스템 구축 당시부터 존재한 것으로 확인됐습니다.

이화여대도 외부 공격에 대한 대응이 미흡하고 특히 일과시간 외에는 주말·야간 모니터링을 소홀히 하는 등 외부의 불법적인 접근 통제 조치가 미흡했던 것으로 밝혀졌습니다.

이에 개인정보위는 이화여대에 3억 4천300만원의 과징금을 부과하면서 이를 대학 홈페이지에 공표하도록 명령했습니다. 

또 개인정보위는 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령을 내리고 책임자에 대한 징계를 권고했습니다.

개인정보위는 최근 대학에서 개인정보 유출 사고가 잇따르는 점을 감안해 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리가 강화될 수 있도록 전파해 줄 것과 관련 내용을 대학 평가 등에 반영될 수 있도록 검토해 줄 것을 요청할 예정이라고 강조했습니다.