연합뉴스대학들의 개인정보보호 조치가 허술한 것으로 드러났다.
개인정보보호위원회는 11일 열린 전체회의에서 개인정보 보호법(이하 '보호법')을 위반해 개인정보를 유출한 전북대학교에 6억 2300만원, 이화여자대학교에 3억 4300만원의 과징금을 부과하고 시정명령과 공표명령 및 징계권고를 하기로 의결했다고 밝혔다.
개인정보위는 이와 함께 교육부에 대학 학사정보시스템의 개인정보 관리를 강화하도록 전파하고 정보보호 조치를 대학 평가에 반영할 것을 검토하도록 요청할 계획이라고 밝혔다.
개인정보위 조사 결과 이들 대학의 학사정보시스템은 구축 당시부터 취약점이 있었고 일과시간 외 야간 및 주말에는 외부의 불법 접근을 탐지해 차단하는 모니터링이 제대로 이뤄지지 않았다.
전북대의 경우 작년 7월 28일과 29일 이틀 동안 해커가 이 학교 학사행정정보시스템에 침입해 32만여 명의 개인정보(주민등록번호 28만여 건 포함)를 탈취했다.
데이터베이스 명령어를 악의적으로 조작해 서버를 오작동시킴으로써 접근권한 없는 정보를 열람 또는 변조하는 공격 방식이 동원됐다.
해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 있는 취약점을 악용해 학번 정보를 입수한 후 학적정보 조회 페이지 등에서 약 90만 회의 변조 및 무작위 대입을 통해 전북대학교학생 및 평생교육원 홈페이지 회원 총 32만여 명의 개인정보에 접근한 것으로 파악됐다.
이런 취약점은 2010년 12월 시스템 구축 당시부터 존재했다고 개인정보위는 전했다.
전북대는 1997년부터 2001년까지 당사자의 동의를 받아 수집한 주민등록번호 233건을 주민등록번호 수집법정주의 도입(2014년) 이후에도 파기하지 않고 계속 보유한 위반사항도 확인됐다.
이화여자대학교에도 작년 9월 초 해커카 통합행정시스템에 침입해 8만 3천여 명의 주민등록번호를 포함한 개인정보를 탈취했다. 전북대와 마찬가지로 시스템의 데이터베이스(DB) 조회 기능의 취약점이 악용됐고 주말과 야간의 외부 침입에 대한 모니터링이 제대로 이뤄지지 않았다.
개인정보위는 "대학의 경우 대개 생성규칙이 단순한 '학번' 등을 기준으로 개인정보를 관리하고 있어 파라미터(입력값) 변조 공격에 취약하고 대규모 고유식별정보를 처리하고 있어 유출 사고 발생 시 막대한 피해가 예상된다"며 "파라미터 변조 공격에 대비하고, 외부의 불법적인 접근 시도를 24시간 철저히 모니터링하는 등 각별한 주의가 필요하다"고 강조했다.