전북대학교 캠퍼스
[전북대 제공]

(서울=연합뉴스) 이상서 기자 = 안전조치 소홀로 수만에서 수십만명에 달하는 학생과 졸업생 등의 개인정보를 해킹당한 전북대와 이화여대가 과징금을 물게 됐다.

개인정보보호위원회는 12일 두 대학에 대해 개인정보보호법 위반으로 과징금 부과와 상시 모니터링 체계 구축 명령 등을 전날 전체회의에서 의결했다고 밝혔다.

개인정보위는 개인정보 유출 신고에 따른 조사 결과 이들 대학의 학사정보시스템이 구축 당시부터 취약했다는 점을 파악했다.

일과시간이 아닌 야간·주말에는 외부의 불법 접근을 탐지·차단하는 모니터링이 제대로 이뤄지지 않는 등 안전조치의무를 소홀히 한 사실도 확인했다.

전북대의 경우 일요일인 작년 7월 28일부터 이틀간 해커로부터 에스큐엘(SQL) 인젝션과 파라미터 변조 공격을 받아 학사행정정보시스템에 보관된 32만여명의 개인정보가 외부로 새 나갔다. 탈취된 개인정보에는 주민등록번호 28만여건이 포함됐다.

전북대 개인정보 유출사고 개요
[개인정보보호위원회 제공]

SQL 인젝션 공격은 웹페이지의 보안 허점을 이용해 악의적인 해킹 코드인 'SQL문'을 주입하고 데이터베이스(DB)를 장악한 뒤 개인정보를 빼가는 수법이다.

파라미터 공격은 웹이나 애플리케이션에서 입력된 데이터 검증 로직의 취약점을 노려 입력값을 조작해 개인정보를 탈취하는 기법이다.

조사 결과 해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 노려 전북대 학생과 평생교육원 홈페이지 회원 등의 개인정보에 접근했다.

해당 취약점은 시스템이 구축된 2010년 12월부터 존재했으나, 전북대는 이를 제대로 개선하지 않았다.

아울러 전북대는 외부 공격에 대한 대응이 미흡했고, 일과시간 외에는 모니터링을 소홀히 한 탓에 주말과 야간에 발생한 비정상적인 트래픽 급증 현상을 뒤늦게 인지했다.

이에 개인정보위는 전북대에 과징금 6억2천300만원과 과태료 540만원의 부과하고, 이를 학교 홈페이지에 공표하도록 명령했다.

또 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령하면서 책임자에 대한 징계도 권고했다.

이화여대 교정
[연합뉴스 자료사진]

이화여대의 경우 작년 9월 해커가 파라미터 변조 공격으로 이 대학 통합행정시스템에 침입해 8만3천여명의 주민등록번호를 포함한 개인정보를 탈취했다.

이 학교 역시 2015년 11월 시스템 구축할 당시부터 보안 취약점이 존재했다.

전북대와 마찬가지로 이화여대도 기본적인 보안 체계는 갖추고 있었지만, 외부 공격에 대한 대응이 미흡했고 주말이나 야간 모니터링도 소홀히 했다.

이화여대 개인정보 유출사고 개요
[개인정보보호위원회 제공]

이에 개인정보위는 이화여대에 과징금 3억4천300만원을 부과하고, 이를 대학 홈페이지에 공표하도록 명령했다.

또 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령하면서 책임자에 대한 징계도 권고했다.

두 대학의 해킹 사고로 인한 2차 피해는 아직 확인되지 않았지만 전북대의 경우 개인정보분쟁조정위원회에 100여건의 신청이 계류 중이라고 개인정보위는 전했다.

개인정보위는 최근 대학에서 개인정보 유출 사고가 잇따르는 점을 감안해 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리 강화를 요구하고 관련 내용을 대학 평가에 반영할 것을 검토해달라고 요청할 예정이다.

강대현 개인정보위 조사총괄과장은 "각 대학 특성에 맞게 보안 수준을 설정하고 이상 징후가 발생하면 차단하는 체계를 갖춰야 하는데, 관련 노하우나 전문 인력이 부족한 게 대학의 특성"이라며 "대학이 (보안 체계 개선에) 관심을 갖고 예산과 인력을 투입할 수 있도록 교육 당국에 협의를 요청할 계획"이라고 말했다.

[email protected]

연합뉴스

이상서([email protected])