개인정보보호위원회, 개인정보 유출한 전북대학교·이화여자대학교에 과징금 총 9억 6,600만 원 및 과태료 540만 원 부과

개인정보보호위원회, 개인정보 유출한 전북대학교·이화여자대학교에 과징금 총 9억 6,600만 원 및 과태료 540만 원 부과

보안 취약점 장기 방치 및 주말·야간 모니터링 소홀로 학사정보시스템에서 대규모 개인정보 유출

---

처벌 사유 1 (전북대학교: 학사행정정보시스템 해킹으로 32만여 명 개인정보 유출)

• ’10년 시스템 구축 시부터 존재한 비밀번호 찾기 페이지 취약점을 해커가 ’24. 7. 28.~29.에 악용
• SQL 인젝션 및 파라미터 변조 공격을 통해 학생 및 평생교육원 회원 등 32만여 명의 개인정보 탈취 (주민등록번호 28만여 건 포함)
• 일과시간 외 주말·야간에는 외부 공격에 대한 실시간 탐지 및 차단 체계 부재로 이상 트래픽을 뒤늦게 인지
• ’97~’01년 수집한 주민등록번호 233건을 법정주의 도입 이후에도 파기하지 않고 계속 보유
• 이에 따라 과징금 6억 2,300만 원, 과태료 540만 원 부과 및 대학 홈페이지에 공표 명령
• 모의해킹 등 취약점 점검 강화 및 상시 모니터링 체계 구축 시정명령, 책임자 징계 권고

 

---

처벌 사유 2 (이화여자대학교: 통합행정시스템 해킹으로 8만 3천여 명 개인정보 유출)

• ’15년 시스템 구축 당시부터 존재한 파라미터 변조 취약점을 해커가 ’24. 9. 2.~3.에 악용
• 세션값 불일치 상태에서도 학번 변조로 타인의 개인정보 조회 가능
• 총 10만 회 이상 파라미터 변조 시도로 학부생 및 졸업생 8만 3천여 명 개인정보 탈취
• 일과시간 외 불법 접근 모니터링 체계 미흡, 반복적인 조회 시도도 탐지 실패
• 이에 따라 과징금 3억 4,300만 원 부과 및 대학 홈페이지 공표 명령
• 모의해킹 점검 강화 및 24시간 상시 모니터링 체계 구축 시정명령, 책임자 징계 권고

 

---

개인정보위 당부 사항

• 대학 학사정보시스템은 학번 등 단순 식별자를 기반으로 해 파라미터 변조에 취약하므로 각별한 보안 관리 필요
• 교육부에 대학 개인정보 보호 체계 강화를 전국 대학에 전파하고, 대학 평가 반영 여부 검토 요청 예정

 

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11273

개인정보보호위원회