이화여대서 '8만명' 개인정보 털린 이유가…'3억 과징금'

교내 학사정보시스템을 허술하게 관리해 40만여명의 개인정보를 유출한 전북대와 이화여대가 총 9억6600만원의 과태료를 부과받았다.

개인정보보호위원회는 지난 11일 열린 전체회의에서 개인정보보호법을 위반해 개인정보를 유출한 전북대에 6억2300만원, 이화여대에 3억4300만원의 과징금을 각각 부과하고 시정명령 등 행정처분을 의결했다.

개인정보위에 따르면 전북대는 지난해 7월28~29일 교내 학사행정정보시스템에 침입한 해커로 인해 학생과 평생교육원 홈페이지 회원 총 32만 여명의 개인정보(주민등록번호 28만 여건 포함)를 탈취당했다.

해커는 학사행정정보시스템 비밀번호 찾기 페이지의 취약점을 악용해 학번을 입수했고, 학적 정보조회 페이지 등에서 이를 무작위로 대입하는 방식을 썼다.

전북대는 2014년 8월 법적 근거 없는 주민등록번호 수집을 금지한 개인정보보호법이 도입된 이후에도 1997년부터 2001년까지 수집된 주민등록번호 233건을 파기하지 않았던 사실도 밝혀졌다.

이화여대는 지난해 9월 2~3일 통합행정시스템 데이터베이스(DB) 조회 기능의 취약점을 악용한 해커의 파라미터(학번) 변조 공격으로 8만3000여 명의 주민등록번호를 포함한 개인정보를 털렸다.

조사 결과, 전북대와 이화여대의 시스템은 기본적인 보안 체계는 갖추고 있었으나 외부 공격에 대한 대응이 미흡했던 것으로 나타났다. 개인정보위 관계자는 "일과시간이 아닌 주말과 야간 모니터링에 소홀해 외부의 불법적인 접근을 통제하는 조치가 미흡했다"고 해명했다.

개인정보위는 최근 대학에서 개인정보 유출 사고가 잇따른 점을 감안해 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리가 대학평가 등에 반영될 수 있도록 검토를 요청할 전망이다.

장지민 한경닷컴 객원기자 newsinfo@hankyung.com