개인정보 유출 전북대 6.2억, 이대 3.3억 과징금

개인정보보호위원회(위원장 고학수)는 11일 개최한 제13회 전체회의에서 개인정보를 유출해 개인정보 보호법(이하 ‘보호법’)을 위반한 전북대학교와 이화여자대학교에 총 9억 6600만 원의 과징금과 540만 원의 과태료를 부과하고 시정명령, 공표명령 및 징계권고를 하기로 의결했다고 밝혔다.

개인정보 유출에 따른 피해 규모 등을 고려해 전북대학교(32만여 명 유출)는 6억 2300만 원, 이화여자대학교(8만 3천여 명 유출)는 3억 4300만 원의 과징금을 각각 부과했다. 개인정보위는 개인정보 유출 신고에 따라 조사한 결과, 이들 대학의 학사정보시스템에 구축 당시부터 취약점이 존재해 왔고, 일과 시간 외 야간 및 주말에는 외부의 불법 접근을 탐지해 차단하는 모니터링이 제대로 이뤄지지 않는 등 '개인정보 보호법'에 따른 안전조치 의무를 소홀히 한 사실을 확인했다. 대학별 위반 내용과 처분 결과는 다음과 같다.

■ 전북대학교

2024년 7월 28일~29일 이틀간 해커가 에스큐엘(SQL) 인젝션(데이터베이스 명령어 주입) 및 파라미터(입력값) 변조 공격으로 전북대학교 학사행정정보시스템에 침입해 32만여 명의 개인정보(주민등록번호 28만여 건 포함)를 탈취했다.

'SQL 인젝션'은 데이터베이스 명령어를 악의적으로 조작해 서버를 오작동시킴으로써 접근권한 없는 정보를 열람 또는 변조하는 공격 방식이다. 또 '파라미터 변조'는 웹 애플리케이션에서 입력된 데이터 검증 로직의 취약점을 악용해 입력값 조작을 통해 개인정보를 탈취하는 해킹 기법을 말한다.

개인정보위 조사 결과, 해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 악용해 학번 정보를 입수한 후 학적정보 조회 페이지 등에서 약 90만 회의 파라미터 변조 및 무작위 대입을 통해 전북대학교 학생 및 평생교육원 홈페이지 회원 총 32만여 명의 개인정보에 접근한 것으로 파악됐다. 해당 취약점은 2010년 12월 시스템 구축 당시부터 존재했다.

아울러 전북대학교는 기본적 보안 장비는 갖추고 있었으나 외부 공격에 대한 대응이 미흡했고, 특히 일과시간 외에는 모니터링을 소홀히 한 결과 주말‧야간에 발생한 비정상적 트래픽 급증 현상을 2024년 7월 29일 오후에야 뒤늦게 인지한 것으로 나타났다.

이에 따라 개인정보위는 전북대학교에 총 6억 2300만 원의 과징금과 540만 원의 과태료를 부과하면서 이를 대학 홈페이지에 공표하도록 명하는 한편, 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령 함과 동시에 책임자에 대한 징계도 권고했다.

■ 이화여자대학교

2024년 9월 2일~3일 이틀간 해커가 시스템의 데이터베이스(DB) 조회 기능 취약점을 악용한 파라미터 변조 공격(개인정보 조회 시, 세션값(사용자 식별값)과 조회 대상 정보가 불일치하는 경우에도 파라미터(학번) 변조를 통해 다른 사용자의 개인정보 조회가 가능한 취약점 존재)으로 이화여자대학교 통합행정시스템에 침입해 8만 3천여 명의 주민등록번호를 포함한 개인정보를 탈취했다.

개인정보위 조사 결과, 해커는 통합행정시스템에 접근하여 약 10만 회의 파라미터 변조 및 무작위 대입을 통해 이화여자대학교 학부생 및 학부 졸업생 8만 3천여 명의 개인정보를 탈취한 것으로 드러났다.

이화여자대학교 역시 이러한 취약점이 2015년 11월 시스템 구축 당시부터 존재해 왔던 것으로 나타났으며, 기본적인 보안 체계는 갖추고 있었으나 외부 공격(예: 동일한 아이피(IP)에서 타인의 개인정보를 반복적으로 조회 시도하는 경우 등)에 대한 대응이 미흡했고, 특히 일과시간 외에는 주말‧야간 모니터링을 소홀히 하는 등 외부의 불법적인 접근 통제 조치가 미흡했던 것으로 밝혀졌다.

이에 따라 개인정보위는 이화여자대학교에 총 3억 4300만 원의 과징금을 부과하면서 이를 대학 홈페이지에 공표하도록 명하는 한편, 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령 함과 동시에 책임자에 대한 징계를 권고했다.

■이번 조사‧처분 의의