‘개인정보 유출’ 전북대·이화여대에 과징금 9억6천만원

클립아트코리아

교내 학사정보시스템을 소홀히 관리해 40만여명의 개인정보를 유출한 전북대와 이화여대가 총 9억6천여만원의 과징금을 내게 됐다.

개인정보보호위원회는 12일 학사정보시스템 구축 때부터 있던 보안 취약점을 제대로 개선하지 않는 등 개인정보보호법상 안전조처 의무를 소홀히 해 개인정보 유출 사고가 발생한 전북대와 이화여대에 각각 6억2300만원, 3억4300만원의 과징금을 부과했다고 밝혔다.

개인정보위 조사 결과, 지난해 7월28~29일 전북대 학사행정정보시스템에 침입한 해커는 비밀번호 찾기 페이지에 존재하는 취약점을 악용해 학번 정보를 입수했다. 이후 학적 정보조회 페이지 등에서 약 90만회의 무작위 대입 등을 통해 전북대 학생 및 평생교육원 누리집 회원 32만여명(주민등록번호 28만여건 포함)의 개인정보를 탈취했다.

조사 과정에서 전북대는 2014년 8월 법적 근거가 없는 경우 원칙적으로 주민등록번호 수집을 금지한 개인정보보호법 시행 이후에도 1997년~2001년 사이 본인 동의를 얻어 수집한 233건의 주민등록번호를 파기하지 않고 계속 보유한 사실도 확인됐다.

이화여대에서도 지난해 9월2~3일 통합행정시스템에 침입한 해커가 시스템의 데이터베이스(DB) 조회 기능의 취약점을 악용한 입력값(파라미터) 변조 공격을 통해 8만3천여명의 주민등록번호 등 개인정보를 탈취한 것으로 드러났다.

전북대와 이화여대의 시스템은 기본적인 보안 체계는 갖추고 있었으나 외부 공격 대응에 미흡했다는 게 개인정보위 쪽 설명이다. 특히 일과시간 외에 주말·야간 시간대에는 외부의 불법 접근을 탐지해 차단하는 모니터링이 제대로 이뤄지지 않았다.

개인정보위는 최근 대학에서 개인정보 유출 사고가 잇따르는 점을 감안해 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리가 대학평가 등에 반영될 수 있도록 검토해 줄 것을 요청할 예정이다.

선담은 기자 sun@hani.co.kr

▶▶[한겨레 후원하기] 시민과 함께 민주주의를!

▶▶민주주의, 필사적으로 지키는 방법 [책 보러가기]

▶▶한겨레 뉴스레터 모아보기