개인정보위, 한국연구재단에 과징금 7억300만원…'JAMS 유출 12만명'

[사진=연합뉴스]

개인정보보호위원회는 온라인논문투고시스템(JAMS)에서 약 12만명의 개인정보가 유출된 한국연구재단에 총 7억780만원(과징금 7억300만원, 과태료 480만원)을 부과했다고 29일 밝혔다. 장기간 취약점 점검·개선이 누락됐고, 유출 통지도 부실했다는 판단이다.
 
개인정보위에 따르면, 해커는 지난해 6월 6일 JAMS 학회페이지의 ‘비밀번호 찾기’ 인터넷주소(URL) 취약점을 악용해 회원 약 12만여명의 개인정보를 열람했다. 이름, 아이디, 이메일, 휴대전화번호, 계좌번호 등 44개 항목이 포함됐다.
 
개인정보위는 “해당 취약점은 2013년부터 존재했지만 연구재단은 장기간 탐지·개선하지 못했고, 점검도 JAMS 포털에만 집중한 채 1600여개 학회페이지는 사각지대로 남았다”고 설명했다.
 
유출 이후 대응도 도마에 올랐다. 연구재단은 6월 12일 유출 사실을 통지하면서 개인 식별성이 높은 휴대전화번호와 계좌번호, 연구자등록번호 등을 누락한 것으로 조사됐다. 주민등록번호를 수집·이용하지 않는다고 했지만, 일부 회원이 ‘비고’란에 임의로 기재한 주민등록번호 116건도 함께 유출됐다. 웹방화벽에서 13자리 숫자가 탐지됐는데도 오탐으로 보고 후속 조치를 하지 않은 정황도 확인됐다.
 

개인정보위는 해킹 이후에도 충분한 시스템 개선 없이 운영이 이어지며 6월 17일 회원 명의를 도용한 2차 피해가 발생한 점을 ‘중대한 사고’로 봤다. 이에 연구재단에 취약점 점검 실시, 누락 항목을 포함한 유출통지 재실시 등을 시정명령했고, 국가 핵심 연구기관에 걸맞은 개인정보 보호체계 강화를 개선권고했다. 책임자 징계도 권고했다. 처분 결과는 개인정보위 홈페이지에 1년간 공표하고 연구재단 홈페이지에도 공표하도록 했다.