"학번만 입력해도 개인정보 줄줄"…개인정보위, 전북대·이화여대에 과징금

[아이뉴스24 윤소진 기자] 전북대학교와 이화여자대학교가 기초적인 해킹 공격에도 제대로 대응하지 못해 개인정보 유출 피해를 입은 것으로 드러났다. 개인정보보호위원회는 이들 대학이 시스템 취약점을 수년간 방치하고 탐지·차단 체계도 갖추지 않아 대규모 유출로 이어졌다고 판단하고 총 9억6600만원의 과징금과 시정명령, 징계 권고 등의 행정처분을 의결했다.

개인정보위는 12일 오전 서울 종로구 정부서울청사에서 브리핑을 열고 이같은 내용을 발표했다. 개인정보 유출에 따른 피해 규모 등을 고려해 전북대학교(32만여 명 유출)는 6억 2300만원, 이화여자대학교(8만 3000여 명 유출)는 3억 4300만 원의 과징금을 각각 부과했다.

전북대학교는 2024년 7월 28일부터 이틀간 해커의 에스큐엘(SQL) 인젝션(데이터베이스 명령어 주입)과 파라미터(입력값) 변조 등의 공격을 받아 학사행정정보시스템에 저장된 개인정보 32만여 건을 유출당했다. 이 중 주민등록번호는 28만여 건에 달한다.

개인정보위 조사 결과 전북대 시스템의 비밀번호 찾기 기능에 구축 초기부터 존재하던 취약점을 해커가 악용해 전체 학번 정보를 추출한 뒤 학사정보 조회 페이지에서 약 90만 회의 파라미터를 변조해 개인정보를 탈취한 것으로 확인됐다. 취약점은 2010년 12월부터 13년 넘게 존재했던 것으로 드러났다.

이화여자대학교도 같은 해 9월 2일부터 이틀간 해킹 공격을 받아 약 8만3000명의 개인정보가 유출됐다. 해커는 데이터베이스 조회 기능의 취약점을 이용해 10만여 회에 걸쳐 무차별 대입을 시도했고 학부생 및 졸업생의 개인정보를 대량으로 추출했다. 이화여대 역시 2015년 11월 시스템 구축 당시부터 해당 취약점을 방치해 온 것으로 나타났다.

공격 방식은 매우 단순했다. 예를 들어 해커가 1명의 학번(0001)을 확보해 로그인한 뒤 웹 주소(URL)에 표시된 학번 숫자만 0002, 0003 등으로 하나씩 바꿔 입력하면 해당 학번을 가진 다른 학생의 개인정보가 그대로 열람되는 구조다. 개인정보위는 정상적인 보안 조치만 있었어도 충분히 막을 수 있었던 사고라고 지적했다.

강대현 개인정보위 조사총괄과장은 “공격 방식은 되게 심플하다. 아주 기본적이고 기초적인 공격”이라며 “비밀번호 찾기 기능에서 SQL 인젝션 취약점이 그대로 남아 있었고 학번만 바꿔도 개인정보가 다 보이는 구조였다”고 설명했다.

두 대학은 모두 ISMS 인증을 받은 상태였고 기본적인 보안 장비를 갖추고 있었지만 외부 이상 접근을 실시간으로 탐지하거나 차단하는 체계는 없었다. 전북대는 주말(일요일)과 야간에 발생한 비정상 트래픽을 월요일 오후에서야 인지한 것으로 확인됐다.

대학의 경우 대개 생성규칙이 단순한 ‘학번’ 등을 기준으로 개인정보를 관리하고 있어 파라미터 변조 공격에 취약한 측면이 있고 대규모 고유식별정보를 처리하고 있어 유출 사고 발생 시 정보주체의 막대한 피해가 예상된다. 이에 따라 파라미터 변조 공격에 대비하고 외부의 불법적인 접근 시도를 24시간 철저히 모니터링하는 등 각별한 주의가 필요하다.

강 과장은 “보안 솔루션은 있었지만 데이터 흐름에 맞춰 경보를 울리거나 차단하는 체계가 제대로 작동하지 않았다. 장비만 있고 대학 자체에 보안 전문 인력이나 운영 노하우가 부족한 상태였다”며 “두 곳 다 대규모 대학임에도 상시 모니터링 체계가 없었고 탐지 지연으로 피해 규모가 더 커졌다”고 지적했다.

전북대는 이외에도 과거 사업 과정에서 수집한 주민등록번호 233건을 법정 보유 기간이 지난 이후에도 파기하지 않고 계속 보유한 사실이 드러나 과태료 처분도 함께 받았다.

개인정보위는 이번 사고를 계기로 교육부에 대학 학사정보시스템의 개인정보 관리 강화를 요청하고 관련 내용이 대학 평가 지표에 반영될 수 있도록 협조를 요청할 계획이다. 개인정보위에 따르면 이번 2개 대학을 포함해 지난해부터 지난달까지 전국 대학에서 발생한 개인정보 유출 신고는 총 21건이다.