개인정보보호위원회가 온라인논문투고시스템(JAMS) 해킹으로 12만여명의 개인정보가 유출된 한국연구재단에 과징금 7억300만원과 과태료 480만원을 부과했다.
개인정보위는 28일 전체회의를 열고 연구재단이 개인정보 안전조치 의무를 위반하고 유출 통지를 미흡하게 이행한 점을 고려해 이같이 의결했다고 29일 밝혔다.
조사 결과 해커는 지난해 6월 JAMS 내 학회 페이지의 '비밀번호 찾기' 기능에 존재하던 취약점을 악용해 파라미터 변조와 이메일 무작위 대입 방식으로 약 12만명의 회원 개인정보를 열람한 것으로 확인됐다. 유출된 정보에는 성명, 아이디, 이메일, 휴대전화번호, 계좌번호 등 총 44개 항목이 포함됐다.
JAMS는 한국연구재단이 운영하는 온라인 논문 투고·심사 시스템으로, 포털과 1617개 학회 페이지로 구성돼 있다. 비밀번호 찾기 페이지의 인터넷주소(URL)에 포함된 이메일 주소를 임의로 변경하면 필수 입력값을 모두 입력하지 않아도 개인정보 화면이 노출되는 구조였던 것으로 조사됐다.
개인정보위는 해당 취약점이 2013년부터 존재했음에도 연구재단이 장기간 이를 탐지·개선하지 못했다고 지적했다. 연구재단은 포털에 대해서만 점검을 실시하고 다수의 학회 페이지는 별도 점검을 하지 않은 것으로 나타났다.
또 연구재단은 개인정보 유출 사실을 통지하는 과정에서 휴대전화번호와 계좌번호 등 일부 주요 유출 항목을 누락해 통지를 적절히 이행하지 않은 것으로 확인됐다. 일부 회원이 비고란에 임의로 기재한 주민등록번호 116건도 함께 유출됐다.
해킹 사고 이후에도 충분한 시스템 개선 없이 운영을 이어가다 회원 명의 도용에 따른 2차 피해가 발생하는 등 사후 대응도 미흡했던 것으로 조사됐다.
개인정보위는 이번 사고를 중대한 개인정보 유출로 판단하고, 과징금·과태료 처분과 함께 JAMS 전반에 대한 취약점 점검과 재통지, 책임자 징계 권고, 처분 결과 공표 등을 명령했다.