전북대와 이화여대가 수십만 명에 달하는 학생과 졸업생 등의 개인정보를 유출한 데 따른 책임으로 과징금 처분을 받았다.

개인정보보호위원회는 12일 두 대학이 개인정보보호법을 위반했다며 과징금 부과 및 상시 모니터링 체계 구축 명령 등의 시정 조치를 전날 전체회의에서 의결했다고 밝혔다.

조사 결과에 따르면 두 학교 모두 학사정보시스템이 구축될 당시부터 구조적 취약점을 안고 있었으며, 특히 주말이나 야간 시간대에 외부 침입에 대응하는 모니터링 체계가 부실했던 것으로 드러났다.

전북대의 경우, 2023년 7월 28일 일요일부터 이틀간 해커의 SQL 인젝션과 파라미터 변조 공격을 받아 학사행정정보시스템에 저장된 개인정보 약 32만 건이 외부로 유출됐다. 이 중 약 28만 건은 주민등록번호였다.

해커는 전북대의 비밀번호 찾기 페이지에 존재하던 취약점을 이용해 침입했으며, 이 취약점은 시스템이 구축된 2010년 12월부터 존재했으나, 해당 기간 동안 전북대는 이를 수정하지 않았다. 또한 외부 공격에 대한 대응이 미흡했고, 일과시간 외에는 비정상적인 트래픽 증가를 제때 인지하지 못해 사고를 확산시킨 원인이 됐다.


이에 개인정보위원회는 전북대에 6억2300만원의 과징금과 540만원의 과태료를 부과하고, 해당 사실을 학교 홈페이지에 공표하도록 명령했다. 또한 취약점 점검 강화, 상시 모니터링 체계 구축, 책임자 징계 권고 등의 시정 조치도 함께 내렸다.

 
이화여대 역시 2023년 9월, 파라미터 변조 공격으로 인해 통합행정시스템이 해킹당해 약 8만3000명의 개인정보가 유출됐다. 유출된 정보에는 주민등록번호도 포함돼 있었다. 해당 시스템도 2015년 11월 구축 당시부터 취약점을 안고 있었던 것으로 나타났다.

이화여대도 기본적인 보안 체계는 갖추고 있었지만 전북대와 마찬가지로 외부 공격에 대한 대응이 부족했고, 주말·야간에는 모니터링이 제대로 이루어지지 않았다. 이에 개인정보위는 이화여대에 3억4300만원의 과징금을 부과하고, 학교 홈페이지에 공표하도록 했다. 시정 명령 내용은 전북대와 동일하게 적용됐다.

두 학교 모두 이번 해킹 사고로 인한 2차 피해는 공식적으로 확인되지 않았으나, 전북대의 경우 개인정보분쟁조정위원회에 100여 건의 조정 신청이 접수된 상태다.

개인정보위는 최근 대학에서의 유사 사고가 반복되고 있는 점을 우려하며 교육부에 전국 대학의 학사정보관리시스템에 대한 관리 강화와 평가 반영 검토를 요청할 계획이라고 밝혔다.