세계일보

대학가에 비상이 걸렸다. 최근 SK텔레콤, 디올·티파니, 예스24 등 개인정보 유출 사건이 잇따르는 가운데, 해커들이 대학교 행정 시스템까지 표적으로 삼고 있어서다.

지난해부터 지난달까지 개인정보보호위원회에 개인정보 유출 신고를 한 대학은 21곳. 이 중 이화여대에서 지난해 8만3000여명, 전북대에선 그보다 4배 많은 32만여명의 개인정보가 털린 것으로 밝혀졌다. 어떻게 가능했을까.

개인정보위는 12일 전북대에 과징금 6억2300만원과 과태료 540만원, 이화여대엔 과징금 3억4300만원 부과와 함께 각 시정·공표 명령, 징계 권고를 발표하면서 사건 전말을 공개했다.

전북대는 지난해 7월28∼29일 학사 행정 정보 시스템 해킹 공격을 받아 보유하고 있던 개인정보가 전부 유출됐다. 주민등록번호 28만여건 중 졸업생 학부모들 것도 있었다. 전북대가 1997∼2001년 특정 사업을 하며 수집한 학부모 정보를 내내 파기하지 않은 것.

이화여대는 지난해 9월2∼3일 통합 행정 정보 시스템 해킹 공격으로 대학생과 졸업생 개인정보가 빠져나갔다.

둘 다 해킹 수법은 시스템 취약점을 악용한 일명 ‘파라미터(입력 값) 변조 공격’이었다. 강대현 개인정보위 조사총괄과장은 이날 브리핑에서 “해커가 데이터베이스(DB)에 접근해 이용자 정보를 하나하나 불러와 빼 가는 방식”이라고 설명했다.

전북대의 경우, 비밀번호 찾기 페이지 취약점을 통해 입수한 학번 정보를 학적 정보 조회 페이지 등에서 무작위 대입하는 식으로 해킹이 이뤄졌다. 이 취약점은 2010년 12월 시스템 구축 당시부터 존재했다.

이화여대는 외부에서 DB에 접근 가능한 경로가 열려 있어 그 경로를 따라 해킹이 진행됐다. 이 취약점 역시 2015년 11월 시스템 구축 당시부터 있었다.

강 과장은 “두 대학 모두 해킹 사고가 발생한 뒤에야 취약점을 파악해 보완·시정했다”며 “일과 시간 외 야간과 주말에 외부의 불법 접근을 탐지해 차단하는 모니터링도 제대로 이뤄지지 않았다”고 밝혔다.

대학이 개인정보 유출로 개인정보위로부터 과징금 처분을 받은 게 처음은 아니다. 2023년 개인정보 보호법 개정·시행에 따라 공공기관 과징금이 최대 5억원에서 20억원으로 상향 조정된 뒤, 지난해 11월 순천향대가 과징금 1억9300만원과 과태료 660만원, 경성대는 과징금 4280만원에 처해졌다.

개인정보위는 교육부에 전국 대학 학사 정보 시스템의 관리·감독 강화와 함께 관련 내용을 대학 평가 등에 반영하는 등의 개인정보 보호 조치 검토를 요청할 방침이다.

강 과장은 “대학은 대규모 고유 식별 정보를 처리하고 있음에도 대개 생성 규칙이 단순한 학번 등을 기준으로 개인정보를 관리해 파라미터 변조 공격에 취약한 측면이 있다”며 “정보 유출 사고 발생 시 정보 주체에 대한 막대한 피해가 예상된다”고 덧붙였다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]