대학생 40만명 개인정보 유출…전북대 6억·이화여대 3억 과징금

개인정보위, 11일 전체회의 의결
시스템 구축 당시부터 취약점
주말·야간 시간 모니터링 소홀

안전조치 소홀로 수만명의 개인정보가 유출된 전북대학교와 이화여자대학교에 총 9억6600만원의 과징금과 540만원의 과태료가 부과됐다.

개인정보보호위원회는 11일 전체회의를 열고 32만명의 개인정보가 유출된 전북대에 과징금과 과태료 각각 6억2300만원과 540만원을, 8만3000여명이 유출된 이화여대에는 과징금 3억4300만원을 부과하기로 의결했다.

개인정보위 조사에서 이들 대학의 학사정보 시스템에는 구축 당시부터 취약점이 존재했고, 일과시간 외 야간·주말에는 외부 불법 접근을 탐지·차단하는 모니터링이 제대로 이뤄지지 않는 등 안전조치 의무를 소홀히 한 사실이 확인됐다.

전북대의 경우 지난해 7월 해커가 인젝션(데이터베이스 명령어 주입)과 파라미터(입력값) 변조 공격으로 학사행정정보시스템에 침입했다. 이를 통해 주민등록번호 28만여건을 포함한 32만여명의 개인정보가 탈취됐다.

해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 악용해 학번 정보를 입수했다. 이를 사용해 학적정보 조회 페이지 등에서 90만회가량 파라미터 변조 및 무작위 대입해 개인정보에 접근했다.

전북대는 주말·야간에 발생한 비정상적 트래픽 급증 현상을 뒤늦게 인지한 것으로 드러났다. 개인정보위는 전북대에 상시 모니터링 체계를 구축하도록 시정명령하고, 책임자에 대한 징계도 권고했다.

이화여대는 지난해 9월 해커가 통합행정시스템에 침입해 8만3000여명의 주민등록번호를 포함한 개인정보를 탈취했다. 이화여대 역시 2015년 11월 시스템 구축 당시부터 취약점이 존재했고, 주말·야간 모니터링을 소홀히 해 외부 불법 접근 통제 조치가 미흡했던 것으로 밝혀졌다.

개인정보위는 지난해부터 지난 5월 말까지 전국 대학에서 21건의 개인정보 유출 신고가 접수됐다고 밝혔다. 이에 개인정보위는 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리가 강화될 수 있도록 전파해줄 것과 관련 내용을 대학 평가 등에 반영될 수 있도록 검토해달라고 요청할 예정이다.

김보경 기자 bkly477@asiae.co.kr