한국연구재단, 12만여건 개인정보 유출...동일 취약점 사이트 '비상'
- 온라인 논문 시스템(JAMS) 해킹으로 개인정보 유출
- 6.6 내부 점검 결과 개인정보 유출 없다발표
- TF를 구성해 연구자 응대와 재단 전체 시스템에 대한 정밀점검
한국연구재단에서 운영하는 온라인 논문 시스템 잼스(JAMS)가 해킹돼 12만여건의 개인정보가 유출됐다.
유출된 개인정보는 성명, 생년월일, 연락처, 이메일 주소, 계정 ID 등이다. 특히 개인정보 비고란에 추가로 정보를 입력한 일부 사용자 정보도 유출됐다.
한국연구재단 개인정보보호책임자에 따르면 6일 새벽, 해커가 잼스 서버 취약점을 악용해 공격했다. 해킹 사실은 6일 오전 보안 점검에서 확인됐고, 사고 대응에 착수했다는 것.
6일 내부 보안점검에서는 사용자 계정과 비밀번호의 노출이 없어 개인정보 유출이 없는 것으로 판단했다. 이에 이메일을 통한 해킹 시도를 차단, 연구자에게 해당 내용을 안내했다. 하지만 9일 정보보안전문기관의 정밀 점검 결과 일부 개인정보가 유출됐다는 게 그의 설명이다.
개인정보보호책임자는 "사고 이후 개인정보보호위원회와 관련 기관에 신고하고 협조 체계를 가동했다"며 "개인정보 침해 범위를 정밀 분석 중이며, 추가 피해를 막기 위한 보안 시스템 점검과 강화 조치를 진행 중"이라고 전했다. 이어 "개인정보 침해사고 대응 TF를 구성해 연구자 응대와 재단 전체 시스템을 정밀 점검하겠다"고 덧붙였다.
13일 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 "12일 4시경 한국연구재단의 신고를 받고 조사에 착수했다"고 밝혔다.
하지만 이 같은 학술기관의 보안이 허술한 곳이 적지 않다. 민감한 개인정보와 중요 자료는 많은 반면, 보안에 대한 투자는 정작 미흡한 실정이다. 보안 기준을 높여야 한다는 지적이다.
이원태 국민대 특임교수이자 전 KISA 원장은 "한국연구재단뿐만 아니라 대부분 학술기관들은 연구 성과 창출에만 집중하며 정보보안 투자와 관심은 상대적으로 소홀했다"며 "이번 사건을 계기로 교육부와 과기정통부는 전국 학술기관의 보안 실태를 전면 점검 하고, 학술연구망 전체 보안 기준을 대폭 강화해야 한다"고 강조했다.
이 교수는 "단순한 패치 수준을 넘어 정기적인 모의해킹, 실시간 보안 모니터링 체계 구축, 사고 발생 시 신속 정확한 피해 범위 파악이 가능한 표준화된 대응 매뉴얼을 마련해야 한다"며 "연구자 개인정보의 특수성을 고려해 최소 수집 원칙을 철저히 준수하고, 학술기관 간 보안 정보 공유 체계를 구축해 집단 대응력을 높일 것"을 당부했다.
동일 취약점이 있는 다른 사이트들도 위험한 상황이다. 강정민 고려대 세종캠퍼스 교수는 "잼스가 URL 파라미터 변조 공격을 받았다면, 서버 검증이미흡하거나, 부재한 것"이라며 "문제는 이와 동일한 취약 프레임워크를 사용하는 곳들이 같은 공격을 받을 수 있다"며 앞서 개인정보보호위원회로 부터 개인정보 유출 사고로 과태료와 과징금을 받은 전북대학교와 이화여자대학교를 예로 들며 설명했다.
Related Materials
- 개인정보 유출 사건에 대한 대중의 반응 연구 - 경영정보학연구, 2024년 8월
- 개인정보 처리방침 - 한국연구재단, 2024년
- 개인정보 처리방침(상세) - 한국연구재단, 2024년
- ※ (예외) “개인정보 유출 없다”던 한국연구재단… - 경향신문, 2025년 (※ 2025년 자료이나, 참고용)
