"학번만 입력해도 개인정보 줄줄"…개인정보위, 전북대·이화여대에 과징금 작성일 06-12 92 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">"SQL 인젝션·파라미터 변조 등 기초적인 공격도 못 막아"<br>야간·주말 탐지 부재, 취약점 수년간 방치로 40만건 유출</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="55tOrF7vNL"> <p contents-hash="13b99459a5515a0f6686ab0c69456c9fe6d010a8e8bf898b7af526cfb716a033" dmcf-pid="11FIm3zTjn" dmcf-ptype="general">[아이뉴스24 윤소진 기자] 전북대학교와 이화여자대학교가 기초적인 해킹 공격에도 제대로 대응하지 못해 개인정보 유출 피해를 입은 것으로 드러났다. 개인정보보호위원회는 이들 대학이 시스템 취약점을 수년간 방치하고 탐지·차단 체계도 갖추지 않아 대규모 유출로 이어졌다고 판단하고 총 9억6600만원의 과징금과 시정명령, 징계 권고 등의 행정처분을 의결했다.</p> <figure class="figure_frm origin_fig" contents-hash="85002f732d9423cf3f8ace6411144c4134d878d8ad6292f3e3945f25a82e403e" dmcf-pid="tt3Cs0qyai" dmcf-ptype="figure"> <p class="link_figure"><img alt="강대현 개인정보보호위원회 조사총괄과장이 6월 12일 오전 서울 종로구 정부서울청사에서 2025년 제13회 개인정보보호위원회 전체회의 안건인 안전조치 소홀로 개인정보를 유출한 2개 대학의 시정조치에 대해 브리핑하고 있다. [사진=개인정보위]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202506/12/inews24/20250612131433997cghv.jpg" data-org-width="580" dmcf-mid="Z04tZ8Ruco" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202506/12/inews24/20250612131433997cghv.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 강대현 개인정보보호위원회 조사총괄과장이 6월 12일 오전 서울 종로구 정부서울청사에서 2025년 제13회 개인정보보호위원회 전체회의 안건인 안전조치 소홀로 개인정보를 유출한 2개 대학의 시정조치에 대해 브리핑하고 있다. [사진=개인정보위] </figcaption> </figure> <p contents-hash="e23157cd15c3db97578c753d0ae22da68f46199237a5d7b3833098ecf129900f" dmcf-pid="FF0hOpBWcJ" dmcf-ptype="general">개인정보위는 12일 오전 서울 종로구 정부서울청사에서 브리핑을 열고 이같은 내용을 발표했다. 개인정보 유출에 따른 피해 규모 등을 고려해 전북대학교(32만여 명 유출)는 6억 2300만원, 이화여자대학교(8만 3000여 명 유출)는 3억 4300만 원의 과징금을 각각 부과했다.</p> <p contents-hash="78e29091b7ad56940418f32d25f5bbd16dc4c4152b12e84ffba614acfda3f7d7" dmcf-pid="33plIUbYAd" dmcf-ptype="general">전북대학교는 2024년 7월 28일부터 이틀간 해커의 에스큐엘(SQL) 인젝션(데이터베이스 명령어 주입)과 파라미터(입력값) 변조 등의 공격을 받아 학사행정정보시스템에 저장된 개인정보 32만여 건을 유출당했다. 이 중 주민등록번호는 28만여 건에 달한다.</p> <p contents-hash="711d57d93d215ebf941952a011b065fe9e2a23378ec4bb7d375fc04013c15e44" dmcf-pid="00USCuKGce" dmcf-ptype="general">개인정보위 조사 결과 전북대 시스템의 비밀번호 찾기 기능에 구축 초기부터 존재하던 취약점을 해커가 악용해 전체 학번 정보를 추출한 뒤 학사정보 조회 페이지에서 약 90만 회의 파라미터를 변조해 개인정보를 탈취한 것으로 확인됐다. 취약점은 2010년 12월부터 13년 넘게 존재했던 것으로 드러났다.</p> <p contents-hash="4c16cae056539209bbeef88b0007a1ce94ad2d15e574218e7f498bccbe824838" dmcf-pid="ppuvh79HoR" dmcf-ptype="general">이화여자대학교도 같은 해 9월 2일부터 이틀간 해킹 공격을 받아 약 8만3000명의 개인정보가 유출됐다. 해커는 데이터베이스 조회 기능의 취약점을 이용해 10만여 회에 걸쳐 무차별 대입을 시도했고 학부생 및 졸업생의 개인정보를 대량으로 추출했다. 이화여대 역시 2015년 11월 시스템 구축 당시부터 해당 취약점을 방치해 온 것으로 나타났다.</p> <p contents-hash="6b7bd23064aa0effaf392631f2330ced902d5beb4d869e5b28fd386c18f8e120" dmcf-pid="UU7Tlz2XjM" dmcf-ptype="general">공격 방식은 매우 단순했다. 예를 들어 해커가 1명의 학번(0001)을 확보해 로그인한 뒤 웹 주소(URL)에 표시된 학번 숫자만 0002, 0003 등으로 하나씩 바꿔 입력하면 해당 학번을 가진 다른 학생의 개인정보가 그대로 열람되는 구조다. 개인정보위는 정상적인 보안 조치만 있었어도 충분히 막을 수 있었던 사고라고 지적했다.</p> <p contents-hash="2179c5f7eaea80977b4603adc5df79eac6c1b0b43c44dff7c65612ef3a5e4bb8" dmcf-pid="uuzySqVZox" dmcf-ptype="general">강대현 개인정보위 조사총괄과장은 “공격 방식은 되게 심플하다. 아주 기본적이고 기초적인 공격”이라며 “비밀번호 찾기 기능에서 SQL 인젝션 취약점이 그대로 남아 있었고 학번만 바꿔도 개인정보가 다 보이는 구조였다”고 설명했다.</p> <p contents-hash="d2040d5325bc1fba694c750a2fb2c7430412670b191fe98fc576ba2355bed18d" dmcf-pid="77qWvBf5aQ" dmcf-ptype="general">두 대학은 모두 ISMS 인증을 받은 상태였고 기본적인 보안 장비를 갖추고 있었지만 외부 이상 접근을 실시간으로 탐지하거나 차단하는 체계는 없었다. 전북대는 주말(일요일)과 야간에 발생한 비정상 트래픽을 월요일 오후에서야 인지한 것으로 확인됐다.</p> <p contents-hash="2de786f51aa15e488484dd76076c100ebd945ed5c1d1d0d55510abd4ae79e6a2" dmcf-pid="zzBYTb41kP" dmcf-ptype="general">대학의 경우 대개 생성규칙이 단순한 ‘학번’ 등을 기준으로 개인정보를 관리하고 있어 파라미터 변조 공격에 취약한 측면이 있고 대규모 고유식별정보를 처리하고 있어 유출 사고 발생 시 정보주체의 막대한 피해가 예상된다. 이에 따라 파라미터 변조 공격에 대비하고 외부의 불법적인 접근 시도를 24시간 철저히 모니터링하는 등 각별한 주의가 필요하다.</p> <p contents-hash="be816230c9e7588e27f70549f7cb0f12dd8b3173aa1f004219df4e0c4cd18165" dmcf-pid="qPxU3Mnbj6" dmcf-ptype="general">강 과장은 “보안 솔루션은 있었지만 데이터 흐름에 맞춰 경보를 울리거나 차단하는 체계가 제대로 작동하지 않았다. 장비만 있고 대학 자체에 보안 전문 인력이나 운영 노하우가 부족한 상태였다”며 “두 곳 다 대규모 대학임에도 상시 모니터링 체계가 없었고 탐지 지연으로 피해 규모가 더 커졌다”고 지적했다.</p> <p contents-hash="4ea7a939b41dd3641a4c7ba0905f57217bfd5c8d8898c86e434a49ad2e1bc5ea" dmcf-pid="BQMu0RLKk8" dmcf-ptype="general">전북대는 이외에도 과거 사업 과정에서 수집한 주민등록번호 233건을 법정 보유 기간이 지난 이후에도 파기하지 않고 계속 보유한 사실이 드러나 과태료 처분도 함께 받았다.</p> <p contents-hash="2d91ec7e5708aaed6e773b4780fbfbe5a30865a6b50ff09aaf2804c7a81f9335" dmcf-pid="bxR7peo9A4" dmcf-ptype="general">개인정보위는 이번 사고를 계기로 교육부에 대학 학사정보시스템의 개인정보 관리 강화를 요청하고 관련 내용이 대학 평가 지표에 반영될 수 있도록 협조를 요청할 계획이다. 개인정보위에 따르면 이번 2개 대학을 포함해 지난해부터 지난달까지 전국 대학에서 발생한 개인정보 유출 신고는 총 21건이다.</p> <address contents-hash="5e3718568510ee562b8fb0690cfaabfbd1af65dd44920f057ecc40deb635dbd8" dmcf-pid="KMezUdg2cf" dmcf-ptype="general">/윤소진 기자<span>(sojin@inews24.com)</span> </address> </section> </div> <p class="" data-translation="true">Copyright © 아이뉴스24. 무단전재 및 재배포 금지.</p> 관련자료 이전 "영탁이 150억 요구" 허위 유포…예천양조 대표 유죄 확정[SC이슈] 06-12 다음 ‘한일 수교 60주년 맞이’ 핸드볼 국가대표 한일전, 3년 만에 열린다… 21일 청주서 개최 06-12 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
