TheTechEdge

전북대·이화여대, 개인정보 유출 과징금 총9억 6,600만원 부과받아

CheifEditor

CheifEditor

6 min read
전북대·이화여대, 개인정보 유출 과징금 총9억 6,600만원 부과받아
[이미지: 전북대학교]

개인정보위, 전북대 6억 2,300만원, 이화여대 3억 4,300만원 부과

주말‧야간 포함 24시간 유출 탐지‧차단 체계 운영 시정명령도 부과

개인정보를 유출한 전북대학교와 이화여자대학교가 개인정보보호법(이하 ‘보호법’) 위반으로, 총 9억 6,600만원 과징금과 540만원 과태료를 부과 받았다. 전북대학교는 32만여명 유출로 6억 2,300만원, 이화여자대학교는 8만 3천여명 유출로 3억 4,300만원이 각 부과됐다.

12일 개인정보위가 발표한 개인정보 유출 신고 조사 결과에 따르면, 두 대학은 학사정보시스템 구축 당시부터 취약점이 존재했다. 일과시간 외 야간과 주말에는 외부 불법 접근을 탐지, 차단 모니터링이 제대로 이뤄지지 않는 등 '개인정보보호법' 안전조치의무 소홀이 확인됐다.

전북대학교

전북대학교는 2024. 7. 28.(일) ~ 7. 29.(월) 동안 해커가 에스큐엘(SQL) 인젝션(데이터베이스 명령어 주입)과 파라미터(입력값) 변조 공격을 통해 학사행정정보시스템에 침입했다. 해커는 총 32만여명 개인정보(주민등록번호 28만여 건 포함)를 탈취했다. 해커는 학사행정정보시스템 비밀번호 찾기 페이지 취약점을 악용했다. 학번 정보 입수 후 학적정보 조회 페이지 등에서 약 90만회 파라미터 변조 및 무작위 대입을 통해 회원 총 32만여명 개인정보에 접근했다.

해당 취약점은 2010. 12월 시스템 구축 당시부터 존재했다. 또 1997~2001년 동의 받아 수집한 주민등록번호 233건을 주민등록번호 수집 법정주의 도입(2014.8.7.) 이후 파기하지 않고 보유했다.

대학교는 기본 보안 장비는 갖췄으나, 외부 공격 대응이 미흡했고, 특히 모니터링 소홀로 주말‧야간에 발생한 비정상 트래픽 급증 현상을 2024. 7. 29.(월) 오후 뒤늦게 인지했다.

이에 개인정보위는 전북대학교에 과징금과 과태료를 부과, 이를 대학 홈페이지에 공표하도록 명했다. 또 모의해킹 등 취약점 점검 강화와 상시 모니터링 체계를 구축하도록 시정명령, 책임자 징계도 권고했다.

[이미지: 이화여자대학교]

이화여자대학교

이화여자대학교는 2024. 9. 2.(월) ~ 9. 3.(화) 해커가 시스템 데이터베이스(DB) 조회 기능 취약점을 악용했다. 파라미터 변조 공격으로 이화여자대학교 통합행정시스템에 침입, 약 10만회의 파라미터 변조 및 무작위 대입을 통해 8만 3천여명 주민등록번호 포함한 개인정보를 탈취했다.

개인정보 조회 시, 세션값(사용자 식별값)과 조회 대상 정보가 불일치하는 경우에도 파라미터(학번) 변조를 통해 다른 사용자 개인정보 조회가 가능한 취약점이 존재했다.

이화여자대학교 역시 취약점이 2015. 11월 시스템 구축 때부터 존재했다. 특히 외부 공격 대응이 미흡했고, 일과시간 외 주말‧야간 모니터링을 소홀히 하는 등 불법 접근 통제 조치가 부족했다.

개인정보위는 이화여자대학교에 과징금 부과, 대학 홈페이지에 공표, 취약점 점검 강화, 상시 모니터링 체계 구축 시정명령, 책임자 징계를 권고했다.

지난해부터 올해 5월말까지 전국 대학에서 발생한 개인정보 유출 신고는 21건이다. 개인정보위는 최근 대학에서 개인정보 유출 사고가 잇따르자 교육부에 “전국 대학 학사정보관리시스템 개인정보 관리가 강화될 수 있도록 전파해 줄 것과 관련 내용을 대학 평가 등에 반영될 수 있도록 검토해 줄 것”을 요청 예정이다.

40만명 개인정보 유출한 전북대·이화여대···과징금 9억6600만원, 2025-06-12
‘개인정보 유출’ 전북대·이화여대에 과징금 9억6천만원, 2025-06-12
“학번만 입력하면 주민등록번호가”⋯개인정보위, 전북대에 과징금 6억·이화여대 3억 부과, 2025-06-12
‘개인정보 32만 건 유출’ 전북대 과징금 6억여 원…이대 3억 원, 2025-06-12
“학번만 입력해도 개인정보 줄줄”…개인정보위, 전북대·이화여대에 과징금, 2025-06-12
개인정보 유출 전북대 6.2억, 이대 3.3억 과징금, 2025-06-12
전북대·이화여대 개인정보 40만건 유출…과징금 9억6600만원 철퇴, 2025-06-12
‘개인정보 안전 소홀’ 전북대·이대 9.6억 과징금 부과, 2025-06-12
. 개인정보 유출사고 대응 매뉴얼(한국정보통신기술협회, TTA), 2023
. 대학 정보보안 및 개인정보보호 실태 분석(한국정보보호학회 논문집, 2023), 2023

Read more

에어프랑스·KLM, 고객 정보 유출… 멤버십·연락처 노출

에어프랑스·KLM, 고객 정보 유출… 멤버십·연락처 노출

에어프랑스와 KLM이 고객 상담용 플랫폼이 해킹돼 개인정보가 유출됐다고 7일(현지시간) 밝혔다. 양사는 침해 사실을 파악한 직후 공격 경로를 차단했으며, 항공사 자체 네트워크와 결제 시스템은 피해를 입지 않았다고 강조했다. 회사 발표에 따르면 해커가 접근한 대상은 제3자 고객 서비스 시스템으로, 고객 이름·이메일·전화번호·보너스 마일 정보·최근 거래 내역 등이 포함된

By Senior Editor, Donghwi Shin
서울시 기술교육원, 랜섬웨어 감염...전산실 전담 없어

서울시 기술교육원, 랜섬웨어 감염...전산실 전담 없어

💡Editor Pick - 교직원 출·퇴근 관리 프로그램 설치 원격시스템 PC 랜섬웨어 감염 - 교직원 성명과 지문 데이터, 출퇴근 기록 등 약 6년 간 축적 자료 암호화 작년에 발생한 서울시 D기술교육원 랜섬웨어 감염 사고가 서울시 감사위원회를 통해 뒤늦게 드러났다. 기술교육원 4곳 중 1곳인 D기술교육원은 전산실 보안관리 부실로 PC가 랜섬웨어에 감염됐다.

By CheifEditor
전 세계 해커, 데이터 유출과 랜섬웨어 등 금융권에 '군침'

전 세계 해커, 데이터 유출과 랜섬웨어 등 금융권에 '군침'

💡Editor Pick - 금융권 노린 데이터 유출, 랜섬웨어 감염, 디도스 등 사이버 공격 기승 - 접근제어 강화, 고객 정보와 내부 자료 분리 저장, 백업 강화해야 금융권을 노린 데이터 유출, 랜섬웨어 감염, 디도스 공격 등 사이버 공격이 기승을 부리고 있다. 보험사, 은행 등 전 세계적으로 금융권을 타깃으로 한 공격이 곳곳에서 발생하고

By CheifEditor
배경훈 과기정통부 장관, 보이스피싱 피해 예방에 AI활용 주문

배경훈 과기정통부 장관, 보이스피싱 피해 예방에 AI활용 주문

💡Editor Pick - “보이스피싱 등 디지털 범죄, AI 기술 활용해 민·관 협력할 것” 강조 - 보이스피싱 예방에 실질 효과 나타나도록 고도화와 홍보 당부 보이스피싱 피해 예방 근본 대책 모색 자리가 마련됐다. 배경훈 과학기술정보통신부 장관은 8일 오전, KT 광화문 사옥서 열린 보이스피싱 대응 현장간담회서 보이스피싱 예방을 위해 AI활용을 주문했다. 배경훈

By CheifEditor