보안 조치를 소홀하게 해 학생과 교직원 등의 개인정보 32만 개를 유출한 전북대학교에 수억 원의 과징금과 과태료가 부과됐다.·
개인정보보호위원회는 제13회 전체회의에서 개인정보보호법(이하 보호법)을 위반해 개인정보를 유출한 전북대학교에 6억 2300만 원의 과징금과 540만 원의 과태료를 부과하고, 이를 학교 홈페이지에 공표하도록 명령했다고 12일 밝혔다. 또한 모의 해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령을 내렸으며, 책임자에 대한 징계도 권고했다.
전북대는 지난해 7월 28일부터 이틀간 해커로부터 에스큐엘(SQL) 인젝션과 파라미터 변조 공격을 받아 학사행정정보시스템에 보관된 32만여 명의 개인정보가 외부로 유출됐다. 탈취된 개인정보에는 주민등록번호 28만여 건이 포함됐다.
조사 결과, 해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 노려 전북대 학생과 평생교육원 홈페이지 회원 등의 개인정보에 접근했다. 해당 취약점은 시스템이 구축된 2010년 12월부터 존재했으나 전북대는 이를 개선하지 않았던 것으로 드러났다.
또 전북대는 외부 공격에 대한 대응이 미흡했고, 일과시간 외에는 모니터링을 소홀히 한 탓에 주말과 야간에 발생한 비정상적인 트래픽 급증 현상을 뒤늦게 인지해 피해가 컸다. 현재 개인정보 분쟁조정위원회에는 전북대 개인정보 유출과 관련, 100여건의 신청이 계류 중이다.
강대현 개인정보위 조사총괄과장은 “대학 특성에 맞게 보안 수준을 설정하고, 이상 징후가 발생하면 차단하는 체계를 갖춰야 하는데, 관련 노하우나 전문 인력이 부족한 게 대학의 특성”이라며 “대학이 보안 체계 개선에 관심을 가지고 예산과 인력을 투입할 수 있도록 교육 당국에 협의를 요청할 계획”이라고 말했다.