한국연구재단, 12만 명 개인정보 유출로 총 7억 780만원 과징금·과태료 작성일 01-29 11 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="V8zLq3WIrK"> <p contents-hash="ac718d64d87838e7eb57b99190a5a1e77d3f61113717104628c9ec3051d8efa7" dmcf-pid="f8zLq3WIIb" dmcf-ptype="general"><strong>장기간 취약점 점검·개선 누락 등 안전조치의무 소홀 및 부실 유출통지</strong> </p> <p contents-hash="93e5a9ee0b75e387d7db8b3bdc22187d411b94ee26693c2ea6f30b2ffd6d5f49" dmcf-pid="46qoB0YCOB" dmcf-ptype="general">[보안뉴스 강현주 기자] 개인정보보호위원회(위원장 송경희)는 2만 명 개인정보 유출 한국연구재단에 7억 780만원 과징금·과태료를 부과했다고 29일 밝혔다. </p> <p contents-hash="432d47f599f4831a22e54754d17831cadd7e532fe9297c967886ca1bea64d051" dmcf-pid="8PBgbpGhDq" dmcf-ptype="general">개인정보위는 개인정보 유출 신고에 따라 조사한 결과, 한국연구재단이 운영하는 온라인논문투고시스템(JAMS)의 개인정보 보호법 위반사실을 확인했다. </p> <figure class="figure_frm origin_fig" contents-hash="15c6567608aa338458af3a44310716959ce28854da1fdb9173ab1074b43765c0" dmcf-pid="6QbaKUHlrz" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/29/552815-KkymUii/20260129125856054exph.jpg" data-org-width="697" dmcf-mid="2yhzlrgRE9" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/29/552815-KkymUii/20260129125856054exph.jpg" width="658"></p> </figure> <div contents-hash="3f903d122115dcc06d162af67591894ed5b750050761eb7ae8058595b44f92eb" dmcf-pid="PxKN9uXSE7" dmcf-ptype="general"> <br>2025년 6월 6일 해커는 JAMS 내 학회페이지의 ‘비밀번호 찾기’ 인터넷주소(URL)에 존재하는 취약점을 악용해 파라미터 변조 및 이메일 무작위 대입을 통해 JAMS 회원 약 12만여명의 개인정보(성명, ID, 이메일, 휴대전화번호, 계좌번호 등 44개 항목) 를 열람했다. </div> <p contents-hash="113b4762dc415d0b61e048ad335408fba3aa415a762b33c7fa01585ceaf0f007" dmcf-pid="QM9j27Zvmu" dmcf-ptype="general">이 취약점은 2013년부터 존재했으나 연구재단은 장기간 이를 탐지·개선하지 못했고 그 결과 이번 유출 사고로 이어졌다. 연구재단은 JAMS 포털을 대상으로만 취약점 점검을 실시하고 1600여개에 달하는 학회페이지에 대해서는 취약점 점검을 실시하지 않은 것으로 나타났다.</p> <p contents-hash="cd85575d7066634007909fcc44e4aca42adfffe09b4a30f984cd514f773f337e" dmcf-pid="xR2AVz5TDU" dmcf-ptype="general">연구재단은 6월 12일 유출통지를 하면서 유출 항목 중 개인 식별성이 높은 휴대전화번호와 계좌번호, 연구자등록번호 등을 누락하고 통지하는 등 유출통지를 적절히 수행하지 않은 사실도 확인됐다.</p> <p contents-hash="ec318ba76a001034c98e7bde7b45fe74f0370530da94c965b87f9d64662bbb33" dmcf-pid="yIAXcLPKEp" dmcf-ptype="general">연구재단은 주민등록번호를 수집·이용하지 않으나, 일부 회원이 JAMS ‘비고’란에 주민등록번호를 임의로 기재함에 따라 주민등록번호도 116건 유출됐다. 연구재단은 유출사고 이전에 JAMS 웹방화벽에서 주민등록번호(숫자 13자리)가 탐지됐으나 이를 오탐으로 간주하고 사실 확인 등 후속조치를 하지 않았다. </p> <p contents-hash="c1321ab149b16434a549da06197b52cd826e5b3fe58e79aa8ede74352f825b43" dmcf-pid="WCcZkoQ9O0" dmcf-ptype="general">연구재단은 해킹 이후에도 충분한 시스템 개선 없이 시스템을 운영하다가 6월 17일 JAMS 회원 명의를 도용하는 2차 피해가 발생하는 등 개인정보 보호체계 전반이 미흡한 것으로 나타났다.</p> <p contents-hash="fc44bfb07e1309f05db03bf297dca33ab1147e2600824da9d5efef5c6ef9ad2f" dmcf-pid="Yhk5Egx2w3" dmcf-ptype="general">개인정보위는 연구재단이 시스템 특성상 연구자의 기본적인 개인정보뿐만 아니라 연구 내용 등 광범위한 정보를 보유하고 있음에도 장기간 취약점 탐지·개선이 이루어지지 않았다고 판단했다. 개인정보보호 관리체계 전반이 부실했으며 명의도용이라는 2차 피해가 현실화된 점 등을 고려하여 이번 유출 사고를 매우 중대한 사고라는 설명이다. </p> <p contents-hash="280f56d46108e242b97016d03dd988d8e3a28c5cf0e3f67efa63c14879dca9a9" dmcf-pid="GlE1DaMVIF" dmcf-ptype="general">이에 개인정보위는 연구재단이 안전조치의무를 위반하고 개인정보 유출통지를 미흡하게 한 것에 대해 7억 300만 원의 과징금과 480만 원의 과태료를 부과하했다. 또 연구재단에 JAMS에 대한 취약점 점검을 실시하고, 누락한 항목을 포함하여 개인정보 유출통지를 다시할 것 등을 시정명령했다. </p> <p contents-hash="cd90deb08c92d725f834130310c1dcb4f2c7f9536ecb637ef4981e9a261b8f38" dmcf-pid="HSDtwNRfmt" dmcf-ptype="general">또 국가 핵심 연구기관에 걸맞은 수준으로 개인정보 보호 체계를 갖출 것을 개선권고하고 동시에 책임자 징계도 권고했다. 위반 상태가 장기간 지속된 점을 고려해 처분 결과를 개인정보위 홈페이지에 1년간 공표하고, 연구재단 홈페이지에도 공표하도록 명령했다. </p> <p contents-hash="29bd1f091a77307dac924345fe1d4d6760f69d3a82aaa12914c2a68dd6c1e710" dmcf-pid="XvwFrje4D1" dmcf-ptype="general">개인정보위 관계자는 “관련 부처(과학기술정보통신부, 교육부)에 ‘JAMS 관리·운영 실태 점검을 강화하고, 산하 기관의 적극적인 개인정보 보호 투자 유인을 마련할 수 있도록 해 줄 것’을 요청하고, 주요 공공기관 대상 안전조치의무를 강화하도록 지속적으로 안내할 계획”이라고 밝혔다. </p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 겨우 4회짼데…시청률 3.1%→동시간대 1위로 싹쓸이 중인 韓 예능 ('합숙맞선') 01-29 다음 "AI 다음은 퀀텀"…과기정통부, 클러스터·가상연구소로 양자 4대 강국 도전 01-29 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
