전북대 해킹사건 개요(사진=개보위)
개인정보위는 개인정보 유출 신고에 따라 조사한 결과, 이들 대학의 학사정보시스템에 구축 당시부터 취약점이 존재하여 왔고, 일과시간 외 야간 및 주말에는 외부의 불법 접근을 탐지하여 차단하는 모니터링이 제대로 이루어지지 않았던 것으로 나타났다.
전북대는 작년 7월 해커가 에스큐엘(SQL) 인젝션(데이터베이스 명령어 주입) 및 파라미터(입력값) 변조 공격을 통해 전북대학교 학사행정정보시스템에 침입하여 32만여 명의 개인정보(주민등록번호 28만여 건 포함)를 탈개인정보위 조사 결과, 해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 악용하여 학번 정보를 입수한 후 학적정보 조회 페이지 등에서 약 90만 회의 파라미터 변조 및 무작위 대입을 통해 전북대학교 학생 및 평생교육원 홈페이지 회원 총 32만여 명의 개인정보에 접근한 것으로 파악되었다. 해당 취약점은 2010년 12월 시스템 구축 당시부터 존재했다.
아울러 전북대는 기본적 보안 장비는 갖추고 있었으나 외부 공격에 대한 대응이 미흡하였고, 특히 일과시간 외에는 모니터링을 소홀히 한 결과 주말·야간에 발생한 비정상적 트래픽 급증 현상을 지난 7월 29일 오후에야 뒤늦게 인지한 것으로 드러났다.
이화여대 해킹사건 개요(사진=개보위)
이화여대도 이러한 취약점이 2015년 11월 시스템 구축 당시부터 존재해 왔던 것으로 나타났으며, 마찬가지로 기본적인 보안 체계는 갖추고 있었으나 외부 공격(예: 동일한 아이피(IP)에서 타인의 개인정보를 반복적으로 조회 시도하는 경우 등)에 대한 대응이 미흡하였고, 특히 일과시간 외에는 주말?야간 모니터링을 소홀히 하는 등 외부의 불법적인 접근 통제 조치가 미흡했던 것으로 밝혀졌다.
개인정보위 조사 결과, 해커는 통합행정시스템에 접근하여 약 10만 회의 파라미터 변조 및 무작위 대입을 통해 이화여자대학교 학부생 및 학부 졸업생 8만 3천여 명의 개인정보를 탈취한 것으로 드러났다.
개보위는 최근 대학에서 개인정보 유출 사고가 잇따르는 점을 감안하여, 교육부에 “전국 대학 학사정보관리시스템의 개인정보 관리가 강화될 수 있도록 전파해 줄 것과 관련 내용을 대학 평가 등에 반영될 수 있도록 검토해 줄 것”을 요청했다.