개보위 "총 9억6600만원 부과"
개인정보위는 지난 11일 전체회의를 열고 개인정보가 유출된 전북대와 이화여대에 총 9억 6600만 원의 과징금과 540만 원의 과태료를 부과하고 시정명령, 공표명령 및 징계권고를 하기로 의결했다고 12일 밝혔다. 개인정보 유출에 따른 피해 규모 등을 고려해 전북대에게는 6억 2300만원, 이화여대는 3억 4300만원이 각 부과됐다. 두 대학 모두 학사정보시스템 구축 당시부터 존재하던 취약점을 방치해왔고, 외부 해킹 시도에 대한 야간·주말 모니터링도 제대로 이루어지지 않았던 것으로 조사됐다.
전북대는 지난해 7월 28일부터 이틀간 해커의 파라미터 변조 공격 등으로 학사정보시스템이 침해당했다. 이로 총 32만여 명의 개인정보가 유출됐다. 이 시스템의 취약점은 2010년 12월 시스템 구축 당시부터 존재했던 것으로, 무려 14년 가까이 방치되어 있었다. 또 전북대는 1997년부터 2001년 사이에 수집한 주민등록번호 233건을 보호법 개정 이후에도 파기하지 않고 보유하고 있었던 사실도 적발됐다. 이화여대도 지난해 9월 2~3일 통합행정시스템의 DB에서 대규모 정보유출이 발생했다. 해커는 약 10만 회의 파라미터 변조 시도를 통해 8만3000여 명의 개인정보, 주민등록번호를 포함한 학부생 및 졸업생 정보를 빼돌렸다. 해당 시스템은 구축 당시인 2015년 11월부터 취약한 상태였던 것으로 조사됐다.
지난해부터 전국 대학에서 21건의 개인정보 유출 신고가 접수됐다. 대학의 경우 대개 생성규칙이 단순한 '학번' 등을 기준으로 개인정보를 관리하고 있어 파라미터(입력값) 변조 공격에 취약한 측면이 있고, 대규모 정보를 처리하고 있어 유출 사고 발생 시 막대한 피해가 예상된다고 개인정보위는 우려했다.
조윤주 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지