‘개인정보 32만 건 유출’ 전북대 과징금 6억여 원…이대 3억 원

학사 정보시스템을 허술하게 관리해 개인정보 40만 건을 유출한 전북대학교와 이화여자대학교가 과징금 9억 6천여 만원을 물게 됐습니다.

개인정보보호위원회는 오늘(12일) 정부서울청사에서 브리핑을 열고, 32만 여 명의 개인정보가 유출된 전북대학교에 과징금 6억 2,300만 원, 8만 3천 여 명의 정보가 유출된 이화여대에 3억 4,300만 원을 각각 부과했다고 밝혔습니다.

개인정보위 조사 결과, 전북대학교는 지난해 7월 28일 학사행정정보시스템의 ‘비밀번호 찾기’ 페이지에 존재하는 취약점을 악용한 해킹 공격으로 32만 여명의 개인정보가 유출된 것으로 드러났습니다.

당시 해커는 데이터베이스에 특정 명령어를 주입하면 전북대학교 전체 학번이 일괄 추출되는 점을 발견하고, 이렇게 얻은 학번 숫자를 90만번 이상 바꾸어 가며 학적정보 조회 페이지 등에서 정보를 빼냈습니다.

한번 시스템에 접속하면, 학번으로 설정된 아이디 숫자값만 바꿔 다른 사람의 정보를 추출할 수 있을 만큼 기본적인 보안 체계가 제대로 갖춰지지 않았던 겁니다.

해킹 난이도로 따지면 아주 기초적인 수준이지만, 전북대는 당시 이런 공격을 다음날 오후에야 뒤늦게 파악한 것으로 확인됐습니다.

이를 통해 주민등록번호 28만여 개를 포함해 이름과 전화 번호, 학사 정보 등 학교 측이 보관하던 개인 정보가 통째로 넘어가면서, 재학생과 졸업생의 경우 74개, 평생교육원 회원은 29가지 종류의 개인 정보가 유출됐습니다.

또 과거 1997년부터 2001년 사이 수집했던 주민등록번호 230여 건을 개인정보보호법 개정 뒤에도 파기하지 않고 계속 보유한 점도 확인돼, 과태료 540만 원도 함께 물게 됐습니다.

이화여자대학교 역시 비슷한 수법으로 지난해 9월 통합행정시스템에서 8만 3천 여 명의 주민등록번호 등 개인정보가 유출된 것으로 조사됐습니다.

이화여대는 학번 데이터가 유출되지는 않았지만, 대개 ‘입학년도 4자리+특정 숫자’ 구성으로 조합되는 학번의 특성상 유추가 쉬운 점이 공격에 악용됐습니다.

해커는 통합행정시스템에서 약 10만 차례 학번 숫자를 바꾸는 ‘파라미터 공격’(입력값 변조 공격)이나 무작위 대입 방식으로 이화여대 학부생과 졸업생 8만 3천여 명의 개인 정보를 탈취했습니다.

당시 이화여대 통합행정시스템에는 사용자 식별값과 조회 대상 정보가 달라도, 학번을 변조하면 다른 사용자의 개인 정보를 볼 수 있는 취약점이 있었던 것으로 드러났습니다.

개인정보위는 해당 대학들이 학사 시스템을 만들 때부터 이같은 취약점이 있었는데도 이를 개선하지 않았고, 일과가 끝난 야간이나 주말에는 보안 모니터링이 제대로 이뤄지지 않았다고 지적했습니다.

또 대학의 경우 대규모 고유 식별정보를 처리하는 기관임에도, 대부분 생성 규칙이 단순한 학번을 기준으로 개인정보를 관리하고 있어 공격에 취약한 면이 있다고 짚었습니다.

개인정보위는 지난해부터 지난달까지 이대와 전북대 외에도 전국 19개 대학에서 개인정보 유출 신고가 접수됐다며, 교육부를 통해 학사정보관리시스템 보안 강화 등을 당부할 예정입니다.