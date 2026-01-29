지난해 해킹으로 12만여명의 개인정보가 유출된 한국연구재단이 과징금 7억300만원과 과태료 480만원, 5만여명의 개인정보가 유출된 티머니는 과징금 5억3400만원을 물게 됐다.

개인정보보호위원회는 28일 제2회 전체 회의에서 개인정보 보호법을 위반한 한국연구재단과 티머니에 대한 처분을 이같이 의결했다고 29일 밝혔다. 개인정보위는 한국연구재단엔 국가 핵심 연구 기관에 걸맞은 수준으로 개인정보 보호 체계를 갖출 것을 개선 권고하고, 책임자 징계도 권고했다.

개인정보위 조사 결과에 따르면 한국연구재단이 운영하는 ‘온라인 논문 투고·심사 시스템(JAMS·Journal Article Management System)’이 지난해 6월6일 해킹 공격을 받아 회원 12만여명의 개인정보가 유출됐다. 이름과 아이디, 휴대전화 번호, 계좌번호, 이메일 등 44개 항목에 달했다. 재단은 주민등록번호를 수집·이용하지 않는데, 일부 회원이 비고란에 임의로 기재해 주민등록번호가 116건 유출됐다.

해커는 JAMS 내 학회 페이지의 비밀번호 찾기 인터넷 주소(URL)에 존재하는 취약점을 악용했다. 해당 URL에 기재된 이메일 주소를 임의로 바꾸면, 비밀번호 찾기에 필요한 이름과 아이디, 이메일 주소를 입력하지 않아도 개인정보 화면이 나타났다. 이 취약점은 2013년부터 있었으나 재단은 이를 장기간 탐지하지 못했다. 재단은 해킹 이후에도 시스템을 개선하지 않아 지난해 6월17일 JAMS 회원 명의가 도용되는 2차 피해가 발생하기까지 했다.

티머니의 경우엔 ‘티머니 카드&페이’ 웹사이트가 지난해 3월13~25일 크리덴셜 스터핑(Credential Stuffing)이란 해킹 공격을 받아 5만1691명의 이름, 휴대전화 번호, 주소, 이메일이 유출됐다. 크리덴셜 스터핑은 해커가 취득한 계정과 비밀번호 정보로 다른 사이트에서 성공할 때까지 로그인을 시도하는 수법이다.

해커는 해당 기간 국내외 IP(인터넷 프로토콜) 9647개를 사용해 티머니 카드&페이 사이트에 1226만회 이상 로그인을 시도했다. 1초당 최대 131회, 1분당 최대 5265회에 달했다. 해커는 로그인에 성공한 계정 중 4131명의 계정에선 잔여 T마일리지 약 1400만원을 선물하기 기능으로 탈취했다.

개인정보위는 “한국연구재단은 연구자의 기본적인 개인정보뿐 아니라 연구 내용 등 광범위한 정보를 보유하고 있음에도 장기간 취약점 탐지·개선이 이뤄지지 않았고, 개인정보 보호 관리 체계 전반이 부실했다”며 “매우 중대한 유출 사고로 판단했다”고 질타했다. 이어 “티머니는 특정 IP에서 대량의 반복적인 로그인 시도 등 비정상적 이상 징후가 발생했음에도, 침입 탐지·차단, 이상 행위 대응 등 안전조치 의무를 소홀히 한 탓에 개인정보 유출 피해로 이어졌다”고 지적했다.

