[아이티데일리] 취약점 방치, 시스템 모니터링 등 안전조치 의무를 소홀히 해 개인정보를 유출한 전북대학교와 이화여자대학교가 수억 원의 과징금을 물게 됐다.

개인정보보호위원회(위원장 고학수)는 11일에 열린 제13회 전체회의에서 개인정보 보호법을 위반해 개인정보를 유출한 전북대와 이화여대에 과징금 총 9억 6,600만 원과 과태료 540만 원을 부과하고 시정명령, 공표명령 및 징계권고를 하기로 의결했다.

개인정보위가 유출 신고에 따라 조사한 결과, 이들 대학은 학사정보시스템에 구축 당시부터 취약점이 존재했으며, 일과시간 외 야간 및 주말에는 외부 불법 접근을 탐지하는 모니터링이 이뤄지지 않았다.

먼저 전북대는 지난해 7월 28~29일 양일간 해커가 SQL 인젝션 및 입력값 변조 공격으로 학사정보시스템에 침입해, 32만여 명의 개인정보를 탈취당했다. 빼앗긴 정보에는 주민등록번호 28만여 건이 포함됐다.

해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 악용해 학번 정보를 입수했다. 그다음 학적 정보 조회 페이지 등에서 매개변수 변조 및 무작위 대입 약 90만 회 일으켜 전북대학교 학생 및 평생교육원 홈페이지 회원 총 32만여 명의 개인정보에 접근했다. 해당 취약점은 2010년 12월 시스템 구축 당시부터 존재했다.

전북대는 기본 보안 장치를 갖췄으나 외부 공격 대응이 미흡했다. 특히 일과시간 외에는 모니터링을 소홀히 한 결과 주말‧야간에 발생한 비정상적 트래픽 급증 현상을 2024년 7월 29일 오후에야 뒤늦게 인지한 것으로 드러났다.

이화여대에서는 지난해 9월 2~3일 양일간 해커가 시스템 데이터베이스(DB) 조회 기능의 취약점을 악용한 파라미터 변조 공격으로 대학 통합행정시스템에 침입, 8만 3천여 명의 주민등록번호를 포함한 개인정보를 탈취했다.

이화여대 역시 보안 취약점이 2015년 11월 시스템 구축 당시부터 존재했다. 이 취약점으로 인해 개인정보 조회 시 세션 값과 조회 대상 정보가 불일치할 때도 매개변수(학번) 변조를 통해 다른 사용자의 개인정보 조회가 가능했다.

또한 이화여대는 동일 아이피 반복 조회 시도 등 외부 공격에 대한 대응이 미흡했고, 주말·야간 모니터링을 소홀히 하는 등 불법적인 접근 통제를 위한 조치가 부족했다.

이에 개인정보위는 전북대와 이화여대에 각각 총 6억 2,300만 원, 3억 4,300만 원의 과징금을 부과하고 이를 대학 홈페이지에 공표하도록 명했다. 또 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령 함과 동시에 책임자 징계를 권고했다.

개인정보위 측은 “대학은 생성규칙이 단순한 ‘학번’ 등을 기준으로 개인정보를 관리해 파라미터 변조 공격에 취약하며, 대규모 고유 식별 정보를 처리하고 있어 유출 사고 발생 시 막대한 피해가 예상된다”며 “외부의 불법적인 접근 시도를 24시간 철저히 모니터링하는 등 각별한 주의가 필요하다”고 밝혔다.

한편, 개인정보위는 최근 대학에서 개인정보 유출 사고가 잇따르는 점을 고려해 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리가 강화될 수 있도록 전파하고, 관련 내용을 대학 평가 등에 반영토록 검토할 것을 요청할 예정이다.