공유하기
강대현 개인정보보호위원회 조사총괄과장이 6월 12일 오전 서울 종로구 정부서울청사에서 2025년 제13회 개인정보보호위원회 전체회의 안건인 안전조치 소홀로 개인정보를 유출한 2개 대학의 시정조치에 대해 브리핑하고 있다.ⓒ개인정보보호위원회
개인정보 보호법(보호법)을 위반해 개인정보를 유출한 전북대학교와 이화여자대학교가 개인정보보호위원회(개인정보위)로부터 총 9억6600만원의 과징금과 540만원의 과태료를 부과받았다.
개인정보위는 지난 11일 개최된 제13회 전체회의에서 이같은 내용을 의결했다고 12일 밝혔다.
개인정보위는 개인정보 유출 신고에 따라 조사한 결과, 이들 대학의 학사정보 시스템에 구축 당시부터 취약점이 존재해 왔고, 일과시간 외 야간 및 주말에는 외부의 불법 접근을 탐지해 차단하는 모니터링이 제대로 이뤄지지 않는 등 보호법에 따른 안전조치의무를 소홀히 한 사실을 확인했다.
우선, 전북대학교는 해커 공격을 통해 학사행정정보시스템에서 등록된 32만여 명의 개인정보(주민등록번호 28만여 건 포함)를 탈취당했다. 지난해 7월 28일부터 29일까지 양일간 벌어진 일이다.
개인정보위 조사 결과, 해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 악용해 학번 정보를 입수한 후 학적정보 조회 페이지 등에서 약 90만회의 파라미터 변조 및 무작위 대입을 통해 개인정보를 입수했다.
기본적 보안 장비는 갖추고 있었으나 외부 공격에 대한 대응이 미흡했고, 일과시간 외에는 모니터링을 소홀히 한 결과 주말·야간에 발생한 비정상적 트래픽 급증 현상을 7월 29일 오후에야 인지한 것으로 드러났다.
이에 따라 개인정보위는 전북대학교에 총 6억 2300만원의 과징금과 540만원의 과태료를 부과하면서 이를 대학 홈페이지에 공표하도록 공표했다. 상시 모니터링 체계를 구축하도록 시정명령함과 동시에 책임자에 대한 징계도 권고했다.
이화여자대학교에는 지난해 9월 2일부터 3일까지 해커가 파라미터 변조 공격으로 학교 통합행정시스템에 침입해 8만3000여 명의 주민등록번호를 포함한 개인정보를 탈취했다.
개인정보위 조사 결과, 해커는 통합행정시스템에 접근해 약 10만회의 파라미터 변조 및 무작위 대입을 통해 이화여자대학교 학부생 및 학부 졸업생 8만 3000여 명의 개인정보를 탈취한 것으로 드러났다.
이화여자대학교도 이러한 취약점이 2015년 11월 시스템 구축 당시부터 존재해 왔던 것으로 나타났으며, 기본적인 보안 체계는 갖추고 있었으나 일과시간 외에는 모니터링이 미흡했던 것으로 나타났다.
개인정보위는 이화여자대학교에 총 3억4300만원의 과징금을 부과하면서 이를 대학 홈페이지에 공표하도록 명했다. 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령함과 동시에 책임자 징계를 권고했다.
개인정보위 측은 최근 대학에서 개인정보 유출 사고가 잇따르는 점을 감안해 교육부에 "전국 대학 학사정보관리시스템의 개인정보 관리가 강화될 수 있도록 전파해 줄 것과 관련 내용을 대학 평가 등에 반영될 수 있도록 검토해 줄 것"을 요청할 예정이다.
0
0
기사 공유
네이버에서 데일리안 구독하기
다음에서 데일리안 구독하기
!['내란 종식' 첫 단추 특검 임명에 '정치 보복' 오해 없어야 [기자수첩-사회]](https://cdnimage.dailian.co.kr/news/icon/202506/news_1749678083_1509195_c.jpeg){kind=icon}
댓글
-
최신순
-
찬성순
-
반대순
실시간 랭킹뉴스
댓글 쓰기