40만 학생 정보 못 지킨 전북대·이대…과징금 9억여 원

[앵커]

대학교에는 학생들의 신상정보를 관리하는 학사 정보 시스템이 있는데요.

이를 허술하게 관리하다 학생 40만 명의 개인정보를 해커들에게 빼앗긴 대학 두 곳이 억대의 과징금을 물게 됐습니다.

구축 당시부터 취약하게 만들어진 데다, 사후 관리도 소홀히 했다는 조사 결과가 나왔습니다.

보도에 강푸른 기자입니다.

[리포트]

학생 신상정보가 담긴 전북대의 통합정보시스템, 지난해 7월 해킹을 당한 이 학교에서 32만 여명의 개인정보가 유출됐습니다.

해커는 먼저 학번을 노렸습니다.

보안 수준이 낮아 단순한 해커 공격에도 쉽게 학번을 빼낼 수 있었다는 게 당국 조사 결과입니다.

[강대현/개인정보보호위원회 조사총괄과장 : "아주 기본적이고 기초적인 공격입니다. 해커가 특정한 명령어를 주입하면 그 데이터베이스에서 전북대학교의 모든 학번이 다 일괄로 추출돼서…."]

빼돌린 학번으론 본격적인 해킹을 시작했습니다.

해킹 명령어를 통해 내부 시스템에 접속한 뒤, 학번을 바꿔가며 다른 학생 정보까지 들여다본 겁니다.

학번과 해킹용 코드를 활용하면, 비밀번호 인증 없이도 개인정보를 볼 수 있는 이른바 '파라미터 변조 공격'입니다.

한 사람에 많게는 70개가 넘는 정보가 유출됐고, 그 안에는 이름과 주민번호, 주소는 물론, 학교 성적 포함됐습니다.

두 달 뒤 이화여대도 비슷한 수법으로 해킹을 당했고, 8만 3천여 명의 개인정보가 빠져나갔습니다.

개인정보보호위원회는 두 학교의 학사 정보시스템이 구축 당시부터 취약했고, 사후관리도 허술했다고 지적했습니다.

[강대현/개인정보보호위원회 조사총괄과장 : "일과 시간 외의 주야간 모니터링 체계 등을 소홀히 하는 등 외부의 불법적인 접근 통제가 미흡한 것으로 역시 확인됐습니다."]

개인정보위는 전북대와 이화여대에 6억 원과 3억 원이 넘는 과징금을 부과했습니다.

KBS 뉴스 강푸른입니다.

촬영기자:이호/영상편집:고응용/그래픽:김지훈