개인정보위, 전북대·이화여대 과징금 9억6600만원 처분

약 32만여명의 개인정보가 유출된 전북대학교와 약 8만3000여명의 개인정보가 유출된 이화여자대학교가 총 9억6600만원의 과징금을 물게 됐다.

개인정보보호위원회는 관련법을 위반해 개인정보를 유출한 전북대와 이화여대에 대해 과징금과 과태료를 부과하고 시정명령·공표명령·징계 권고 등의 행정조치를 내렸다고 12일 밝혔다.

구체적으로는 피해 규모 등을 종합적으로 고려해 전북대학교에는 6억2300만원, 이화여자대학교에는 3억4300만원의 과징금을 각각 부과했다.

조사 결과, 두 대학 모두 학사정보시스템에 구축 당시부터 보안 취약점이 존재했으며, 특히 야간이나 주말 등 일과시간 외에는 외부의 불법 접근을 탐지·차단하기 위한 모니터링이 제대로 이뤄지지 않는 등 관련 법령상 안전조치 의무를 소홀히 한 것으로 드러났다.

전북대학교는 지난해 7월 28일부터 29일 사이, 해커가 SQL인젝션(데이터베이스 명령어 주입) 및 파라미터(입력값) 변조 공격을 통해 학사행정정보시스템에 침입, 약 32만여명의 개인정보가 유출됐다. 이 중 주민등록번호는 약 28만건에 달한다.

개인정보위 조사 결과, 해커는 학사행정정보시스템 내 '비밀번호 찾기' 페이지의 취약점을 악용해 학번 정보를 확보한 뒤, 학적정보 조회 페이지 등에서 약 90만회에 걸친 파라미터 변조·무작위 대입 공격을 통해 학생과 평생교육원 홈페이지 회원의 개인정보에 접근한 것으로 드러났다. 해당 취약점은 2010년 12월 시스템 구축 당시부터 존재해 왔다.

전북대학교는 기본적인 보안 장비는 갖추고 있었으나 외부 공격 대응 체계가 미흡했고, 특히 일과시간 외 주말·야간 모니터링이 제대로 이뤄지지 않아 7월 29일 오후가 돼서야 비정상적인 트래픽 급증 현상을 인지한 것으로 나타났다.

이화여자대학교는 지난해 9월 2일부터 3일 사이, 해커가 데이터베이스(DB) 조회 기능에 존재하는 취약점을 이용해 파라미터 변조 공격을 수행, 통합행정시스템에 저장돼 있던 약 8만3000여명의 주민등록번호를 포함한 개인정보가 유출됐다.

개인정보위에 따르면 해커는 해당 시스템에 접근한 뒤, 약 10만회의 파라미터 변조·무작위 대입을 통해 이화여자대학교 학부생 및 학부 졸업생 개인정보를 탈취한 것으로 드러났다. 이 역시 2015년 11월 시스템 구축 당시부터 존재해 온 취약점이었다.

이화여자대학교도 기본적인 보안 체계는 갖추고 있었으나, 외부 공격에 대한 탐지와 대응이 부족했다. 특히 주말이나 야간 등 일과시간 외에는 모니터링이 소홀해 외부의 불법적인 접근에 효과적으로 대응하지 못한 것으로 밝혀졌다.