개인정보보호위원회는 28일 전체회의를 열고 개인정보 보호법을 위반한 한국연구재단에 대해 과징금 7억300만원과 과태료 480만원을 부과하고, 시정명령·개선권고·책임자 징계를 권고했다고 밝혔다. 처분 결과는 개인정보위 홈페이지에 1년간 공표되며, 연구재단 홈페이지에도 함께 공개된다.
출처=개인정보보호위원회
이 공격으로 이름, 아이디, 이메일, 휴대전화번호, 계좌번호 등 최대 44개 항목의 개인정보가 유출됐으며, 피해 규모는 약 12만 명에 달했다. 일부 회원이 임의로 입력한 주민등록번호 116건도 함께 유출된 것으로 확인됐다.
문제의 취약점은 2013년부터 존재했지만, 연구재단은 이를 장기간 탐지하거나 개선하지 못했다. JAMS 포털만 점검하고, 실제로 운영 중인 1600여 개 학회 페이지에 대해서는 취약점 점검을 실시하지 않은 사실도 드러났다.
유출 이후 대응 역시 부실했다. 연구재단은 6월 12일 이용자들에게 유출 사실을 통지하면서 휴대전화번호와 계좌번호, 연구자등록번호 등 개인 식별성이 높은 항목을 누락해 알렸다. 해킹 이후에도 충분한 시스템 개선 없이 서비스를 운영하다가, 6월 17일 JAMS 회원 명의가 도용되는 2차 피해까지 발생했다.
개인정보위는 이번 사고를 “국가 핵심 연구기관에서 발생한 매우 중대한 개인정보 유출 사고”로 판단했다. 연구자의 기본 인적 정보뿐 아니라 연구 활동과 관련된 광범위한 정보가 저장된 시스템임에도, 보호 조치와 관리 체계가 전반적으로 미흡했다는 점을 문제로 지적했다.
이에 개인정보위는 연구재단에 JAMS 전반에 대한 취약점 점검 실시, 누락 항목을 포함한 개인정보 유출 재통지 등을 명령했다. 아울러 국가 연구기관에 걸맞은 수준으로 개인정보 보호 체계를 전면 강화할 것을 개선 권고하고, 책임자에 대한 징계도 함께 권고했다.
또 개인정보위는 과학기술정보통신부와 교육부에 JAMS 관리·운영 실태 점검을 강화하고, 산하 기관의 개인정보 보호 투자를 유도할 수 있는 관리·감독 방안을 마련해 달라고 통보했다. 향후 주요 공공기관을 대상으로 안전조치 의무 이행 여부에 대한 점검도 지속적으로 강화할 방침이다.
