지난해 7월 말, 학사행정정보시스템에 해커가 침입하면서 32만여 명의 개인정보(주민등록번호 28만 여 건 포함)를 탈취 당했던 전북대학교가 6억 2천 여만 원의 과징금 처분을 받았다.
개인정보보호위원회는 11일 열린 전체회의에서 개인정보 보호법(이하 '보호법')을 위반해 개인정보를 유출한 전북대학교에 6억 2300만 원, 이화여자대학교에 3억 4300만 원의 과징금을 부과하고 시정명령과 공표명령 및 징계권고를 하기로 의결했다고 밝혔다.
이와 함께 교육부에 대학 학사정보시스템의 개인정보 관리를 강화하도록 전파하고 정보보호 조치를 대학 평가에 반영할 것을 검토하도록 요청할 계획이라고 밝혔다.
조사 결과 전북대의 학사정보시스템은 구축 당시부터 취약점이 있었고 일과 시간 외 야간 및 주말에는 외부의 불법 접근을 탐지해 차단하는 모니터링이 제대로 이뤄지지 않았던 것으로 나타나는 등 개인정보보호 조치가 허술한 것으로 지적됐다.
전북대의 경우 작년 7월 28일과 29일 이틀 동안 해커가 학사행정정보시스템에 침입해 32만여 명의 개인정보(주민등록번호 28만여 건 포함)를 탈취해 갔다.
해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 있는 취약점을 악용해 학번 정보를 입수한 후 학적정보 조회 페이지 등에서 약 90만 회의 변조 및 무작위 대입을 통해 전북대학교 학생 및 평생교육원 홈페이지 회원 총 32만여 명의 개인정보에 접근했던 것으로 파악됐다.
이같은 취약점은 이미 지난 2010년 12월 시스템 구축 당시부터 존재했다고 개인정보위는 밝혔다.
전북대는 또한 1997년부터 2001년까지 당사자의 동의를 받아 수집한 주민등록번호 233건을 주민등록번호 수집법정주의 도입(2014년) 이후에도 파기하지 않고 계속 보유한 위반사항도 확인됐다.
개인정보위는 "대학의 경우 대개 생성 규칙이 단순한 '학번' 등을 기준으로 개인정보를 관리하고 있어 파라미터(입력값) 변조 공격에 취약하고 대규모 고유식별정보를 처리하고 있어 유출 사고 발생 시 막대한 피해가 예상된다"며 "파라미터 변조 공격에 대비하고, 외부의 불법적인 접근 시도를 24시간 철저히 모니터링하는 등 각별한 주의가 필요하다"고 강조했다.
전체댓글 0