회원 12만여 명의 개인정보를 유출한 한국연구재단이 총 7억 780만 원의 과징금과 과태료를 부과받았다.

개인정보보호위원회는 지난 28일 정부서울청사에서 제2회 전체회의를 열고, 개인정보 보호 법규를 위반한 한국연구재단에 이같은 제재를 의결했다. 처분 결과를 개인정보위 및 사업자 홈페이지에 공표하는 명령도 내렸다.

해커는 지난해 6월 6일 한국연구재단이 운영하는 온라인 논문투고시스템(JAMS) 내 학회페이지의 '비밀번호 찾기' URL에 존재하는 취약점을 악용해 JAMS 회원 12만여 명의 이름, 이메일, 휴대전화번호, 계좌번호 등 44개 항목의 개인정보를 열람했다.

해당 취약점은 URL에 기재된 이메일주소를 임의로 변경하면, 비밀번호 찾기에 필요한 전체 항목을 입력하지 않아도 회원의 개인정보 화면이 나타나는 것이다.

조사 결과 이 취약점은 2013년부터 존재했으나 연구재단은 장기간 이를 탐지·개선하지 못했고, 그 결과 이번 유출 사고로 이어졌다.

연구재단은 JAMS 포털을 대상으로만 취약점 점검을 실시하고 1600여 개에 달하는 학회페이지에 대해서는 취약점 점검을 실시하지 않은 것으로 나타났다.

또한 연구재단은 지난해 6월 12일 유출통지를 하면서 유출 항목 중 개인 식별성이 높은 휴대전화번호와 계좌번호, 연구자등록번호 등을 누락하고 통지하는 등 유출통지를 적절히 수행하지 않은 사실도 확인됐다.

연구재단은 주민등록번호를 수집·이용하지 않으나, 일부 회원이 JAMS '비고'란에 주민등록번호를 임의로 기재함에 따라 주민등록번호도 116건 유출됐다.

연구재단은 유출사고 이전에 JAMS 웹방화벽에서 주민등록번호가 탐지됐으나 이를 오탐으로 간주하고 사실 확인 등 후속조치를 하지 않았다.

연구재단은 해킹 이후에도 충분한 시스템 개선 없이 시스템을 운영하다가 지난해 6월 17일 JAMS 회원 명의를 도용하는 2차 피해가 발생하는 등 개인정보 보호체계 전반이 미흡한 것으로 나타났다.

개인정보위는 이번 유출 사고를 매우 중대한 사고라고 판단해 안전조치의무를 위반하고 개인정보 유출통지를 미흡하게 한 것에 대해 7억 300만 원의 과징금과 480만 원의 과태료를 부과했다.

연구재단에 JAMS에 대한 취약점 점검을 실시하고, 누락한 항목을 포함해 개인정보 유출통지를 다시 할 것 등을 시정명령했다. 국가 핵심 연구기관에 걸맞은 수준으로 개인정보 보호 체계를 갖출 것을 개선 권고하고, 책임자 징계도 권고했다.

위반 상태가 장기간 지속된 점을 고려해 처분 결과를 개인정보위 홈페이지에 1년간 공표하고, 연구재단 홈페이지에도 공표하도록 명령했다.

lgirim@news1.kr