보안 소홀로 개인정보 탈탈 털린 전북대·이화여대…과징금 철퇴

안전조치 소홀로 수만에서 수십만 명에 달하는 학생과 졸업생 등의 개인정보를 해킹당한 전북대와 이화여대가 과징금을 물게 됐습니다.

개인정보보호위원회는 오늘(12일) 두 대학에 대해 개인정보보호법 위반으로 과징금 부과와 상시 모니터링 체계 구축 명령 등을 전날 전체회의에서 의결했다고 밝혔습니다.

개인정보위는 개인정보 유출 신고에 따른 조사 결과 이들 대학의 학사정보시스템이 구축 당시부터 취약했다는 점을 파악했습니다.

일과시간이 아닌 야간·주말에는 외부의 불법 접근을 탐지·차단하는 모니터링이 제대로 이뤄지지 않는 등 안전조치의무를 소홀히 한 사실도 확인했습니다.

전북대의 경우 일요일인 작년 7월 28일부터 이틀간 해커로부터 에스큐엘(SQL) 인젝션과 파라미터 변조 공격을 받아 학사행정정보시스템에 보관된 32만여 명의 개인정보가 외부로 새 나갔습니다.

탈취된 개인정보에는 주민등록번호 28만여 건이 포함됐습니다.

이에 개인정보위는 전북대에 과징금 6억 2천300만 원과 과태료 540만 원을 부과하고, 이를 학교 홈페이지에 공표하도록 명령했습니다.

이화여대의 경우 작년 9월 해커가 파라미터 변조 공격으로 이 대학 통합행정시스템에 침입해 8만 3천여 명의 주민등록번호를 포함한 개인정보를 탈취했습니다.

이 학교 역시 2015년 11월 시스템 구축할 당시부터 보안 취약점이 존재했습니다.

전북대와 마찬가지로 이화여대도 기본적인 보안 체계는 갖추고 있었지만, 외부 공격에 대한 대응이 미흡했고 주말이나 야간 모니터링도 소홀히 했습니다.

이에 개인정보위는 이화여대에 과징금 3억 4천300만 원을 부과하고, 이를 대학 홈페이지에 공표하도록 명령했습니다.

두 대학의 해킹 사고로 인한 2차 피해는 아직 확인되지 않았지만 전북대의 경우 개인정보분쟁조정위원회에 100여 건의 신청이 계류 중이라고 개인정보위는 전했습니다.

개인정보위는 최근 대학에서 개인정보 유출 사고가 잇따르는 점을 감안해 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리 강화를 요구하고 관련 내용을 대학 평가에 반영할 것을 검토해달라고 요청할 예정입니다.

(사진=개인정보보호위원회 제공, 연합뉴스)