이화여대, 전북대 날벼락 맞았다…대학생들 어쩌나

안전조치를 소홀히 해 수십만 명의 개인정보가 유출된 전북대학교와 이화여자대학교에 과태료가 부과됐다.

개인정보보호위원회는 지난 11일 전체회의를 열고, 개인정보가 대량 유출된 두 대학에 과징금과 과태료를 부과하기로 의결했다. 전북대에는 과징금 6억 2300만 원, 과태료 540만 원을, 이화여대에는 과징금 3억 4300만 원을 부과했다.

조사 결과 두 학교 모두 학사정보 시스템을 구축하는 과정에서부터 보안 취약점이 존재했으며, 야간과 주말 등 일과시간 외에는 외부의 불법 접근을 탐지하거나 차단하는 모니터링이 제대로 이뤄지지 않았던 것으로 드러났다.

전북대는 지난해 7월, 해커가 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 이용해 시스템에 침입했다. 해커는 이 취약점을 통해 학번 정보를 확보했고, 이를 기반으로 학적정보 조회 페이지 등에서 파라미터 변조와 무작위 대입 방식으로 약 90만 회에 걸쳐 개인정보에 접근했다. 이 과정에서 주민등록번호 28만여 건을 포함해 총 32만 명의 개인정보가 유출됐다.

해당 공격은 주말과 야간 시간대에 집중됐으나, 전북대는 이 기간 발생한 비정상적인 트래픽 급증을 제때 인지하지 못하고 뒤늦게 확인한 것으로 나타났다. 개인정보위는 전북대에 상시 모니터링 체계 구축을 명령하고, 시스템 관리 책임자에 대한 징계도 권고했다.

이화여대의 경우에도 지난해 9월 통합행정시스템이 해킹돼 주민등록번호 등을 포함한 8만 3000여 명의 개인정보가 탈취됐다. 이화여대 또한 지난 2015년 11월 시스템 구축 당시부터 취약점이 존재했고, 마찬가지로 야간과 주말 시간대의 외부 접근에 대한 통제가 미흡했던 것으로 파악됐다.

개인정보위는 2023년부터 올해 5월 말까지 전국 대학에서 총 21건의 개인정보 유출 신고가 접수됐다고 밝혔다. 이에 따라 교육부에 전국 대학의 학사정보관리시스템에서 개인정보 관리가 보다 강화될 수 있도록 지침을 전파해줄 것을 요청했다. 또한 관련 조치가 향후 대학 평가 항목에 반영될 수 있도록 검토해달라고 전달할 계획이다.