'개인정보 유출 2차 피해' 한국연구재단 등 총 12억원대 과징금
개인정보위, 제2차 전체회의
한국연구재단, 12만명 정보 유출
7억대 과징금…책임자 징계 권고
5만명 유출 티머니, 과징금 5.3억
NHN커머스, 새 솔루션 제공 권고
개인정보보호위원회는 개인정보 유출 사고가 2차 피해로 이어진 한국연구재단, 티머니 등에 총 12억원대 과징금을 부과했다고 29일 밝혔다.
개인정보위는 전날 제2차 전체회의에서 12만명의 개인정보를 유출한 한국연구재단에 총 7억780만원의 과징금·과태료 부과를 결정했다.
해킹은 지난해 6월 재단이 운영하는 온라인논문투고시스템(JAMS)에서 발생했다. 개인정보위 조사 결과 해커는 JAMS 내 학회페이지의 '비밀번호 찾기' 인터넷 주소에 존재하는 취약점을 악용, 파라미터 변조와 이메일 무작위 대입을 통해 JAMS 회원 약 12만명의 개인정보를 열람했다. 노출된 정보는 이름, ID, 이메일, 휴대전화번호, 계좌번호 등 44개 항목이다. 주민등록번호도 116건이 유출됐으며, JAMS 회원 명의를 도용하는 2차 피해까지 발생했다.
개인정보위는 2013년부터 존재한 취약점을 재단이 탐지·개선하지 못했다고 지적했다. 재단은 JAMS 포털만 취약점 점검을 실시하고, 1600여개에 달하는 학회페이지는 방치한 것으로 파악됐다. 또 유출 통지 당시 개인 식별성이 높은 계좌번호, 연구자등록번호 등을 누락하고, 해킹 이후에는 충분한 시스템 개선 작업을 하지 않았다.
개인정보위는 매우 중대한 유출 사고로 보고, 재단에 7억300만원의 과징금과 480만원의 과태료를 부과했다. JAMS 취약점 점검과 누락 항목을 포함한 개인정보 유출 재통지를 명령하고, 국가 핵심 연구기관에 걸맞은 수준의 개인정보 보호 체계 구축과 책임자 징계를 권고했다. 처분 결과는 개인정보위 홈페이지에 1년간 공표한다.
개인정보위는 지난해 4월 접수된 개인정보 유출 신고 조사 결과에 따라 티머니에도 과징금 5억3400만원을 부과했다. '개인정보보호법'에 따른 안전조치 의무를 소홀히 했다는 이유에서다.
지난해 3월 13~25일 신원 미상의 해커는 '크리덴셜 스터핑' 방식으로 티머니 카드·페이 웹사이트에 침입해 5만1691명의 개인정보를 빼냈다. 크리덴셜 스터핑은 기취득한 계정·비밀번호 정보로 가지고 다른 사이트에서 성공할 때까지 로그인 시도하는 해킹 공격이다. 조사 결과 해커는 해당 웹사이트에 국내외 9647개 IP 주소를 사용해 1초당 최대 131회, 1분당 최대 5265회, 총 1226만회 이상 대규모 로그인을 시도했다. 이어 로그인에 성공해 접근한 계정 중 4131명의 계정에서는 잔여 'T마일리지' 1400여만원을 선물하기 기능으로 탈취해 2차 피해를 초래했다.
개인정보위는 티머니가 비정상적인 이상 징후에 대한 안전조치 의무를 소홀히 해 개인정보 유출 피해가 생겼다며 과징금 부과와 함께 홈페이지 사실 공표, 재발 방치대책 수립 등을 명령했다. 개인정보위는 "크리덴셜 스터핑 해킹 공격이 빈번하게 발생하는 만큼 비정상 접속 등 이상 행위에 대한 보안 대책 강화를 당부드린다"며 "개인정보 노출 페이지 내 개인정보 비식별화, 개인정보 포함 페이지 접근 시 추가 인증 적용 등의 조치가 사고 예방이 도움이 될 수 있다"고 말했다.
아울러 개인정보위는 NHN커머스에 과징금 870만원, 과태료 450만원 부과 및 공표 명령을 의결했다. NHN커머스가 쇼핑몰 구축을 원하는 이용사업자들에게 제공하는 서비스형 소프트웨어(SaaS) 방식의 'e나무' 솔루션에서 총 122건의 주문자 개인정보 유출 사고가 발생했기 때문이다. 해당 솔루션은 서비스를 개시한 지 10여년이 지나 기술 지원과 보안 관리가 미흡한 상태였고, 공격은 장바구니 관련 웹페이지에서 SQL 인젝션 형태로 이뤄졌다. 데이터베이스(DB) 질의어(SQL쿼리)를 비정상 조작해 권한 없는 정보에 접근할 수 있는 해킹 기법이다.
NHN커머스는 공격 발생 당시 개인정보 범위·내용을 즉시 확인하고 72시간 내 신고를 완료했다. 하지만 이용사업자들에게는 일회성 이메일·전화 발송에 그쳐 통지가 제대로 도달했는지 확인하지 않아 결과적으로 정보 주체에 대한 유출 통지가 완전히 이뤄지지 않았다고 개인정보위는 짚었다.
꼭 봐야 할 주요 뉴스
![이란에 '토마호크' 얼마나 퍼부었길래…일본에 '당장 못 준다' 통보한 미국[미국-이란 전쟁]](https://cwcontent.asiae.co.kr/asiaresize/93/2026040316125413514_1775200375.jpg)
이란에 '토마호크' 얼마나 퍼부었길래…일본에 '당...
개인정보위는 행정 처분에 더해 'e나무' 솔루션의 낮은 이용률, 전담 조직 해체, 과거 유사 해킹 전력 등을 고려해 대체 솔루션으로의 이관 작업을 지원토록 권고했다. 개인정보위는 "대형 수탁자가 역할에 걸맞은 개인정보 보호 조치를 이행해야만 영세 소상공인을 포함한 다수 이용사업자의 보안 수준도 달성될 수 있다"고 강조했다.
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
![[인터뷰]정익중 "국내입양과 출산은 다르지 않다"](https://cwcontent.asiae.co.kr/asiaresize/308/2026031121432271388_1773233002.jpg)
![[단독]입양 대기아동 年평균 300명…'해외입양 0명' 해법은](https://cwcontent.asiae.co.kr/asiaresize/308/2026033008152494888_1774826125.jpg)
![[기자수첩]정부-소상공인 '빈수레' 간담회, 이럴거면 왜 했나](https://cwcontent.asiae.co.kr/asiaresize/308/2026040309395296812A.jpg)
![[초동시각]"많이 오지만 적게 쓴다" 한국 관광의 딜레마](https://cwcontent.asiae.co.kr/asiaresize/308/2026040309512226534A.jpg)
![[리셋정치]대구는 전에 없던 선택을 할 것인가](https://cwcontent.asiae.co.kr/asiaresize/308/2026040307450948181A.jpg)
!["일은 짧고 굵게"…15분 보고제 도입하는 정부[비주얼뉴스]](https://cwcontent.asiae.co.kr/asiaresize/308/2026040315430613475_1775198586.png)
!["한달 200만원 들지만 죽는 병은 아니니까"…'우리가 만나 다행'이란 입양가족[잊힌 아이들]⑫](https://cwcontent.asiae.co.kr/asiaresize/309/2026040113464999528_1775018809.jpg)
!["전기요금부터 다 오를 것이다" 트럼프 대국민 연설에 떠는 뉴욕[르포]](https://cwcontent.asiae.co.kr/asiaresize/309/2026040307320212351_1775169122.jpg)
