12만 명 개인정보를 유출한 한국연구재단에 총 7억 780만원 과징금·과태료 부과

- 장기간 취약점 점검·개선 누락 등 안전조치의무 소홀 및 부실 유출통지 등 ｢개인정보 보호법｣ 위반사실 확인

- 국가 핵심 연구기관에 걸맞게 개인정보 보호체계 강화 명령, 책임자 징계도 권고

- 관련 부처(과기정통부, 교육부)에 관리·감독 강화 통보

  개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 1월 28일(수) 제2회 전체회의를 열고, 개인정보 보호 법규를 위반한 한국연구재단에 과징금 및 과태료를 부과했다. 아울러, 처분 결과를 개인정보위 홈페이지에 공표하고 해당 사업자 홈페이지에도 결과를 공표할 것을 의결하였다.

  개인정보위는 개인정보 유출 신고에 따라 조사한 결과, 한국연구재단(이하 '연구재단')이 운영하는 온라인논문투고시스템(Journal&Article Management System, 이하 'JAMS')의 ｢개인정보 보호법｣ 위반사실을 확인하였다. 구체적인 위반 내용과 처분 결과는 다음과 같다.

  '25. 6. 6.(금) 해커는 JAMS* 내 학회페이지의 '비밀번호 찾기' 인터넷주소(URL)에 존재하는 취약점**을 악용하여 파라미터 변조 및 이메일 무작위 대입을 통해 JAMS 회원 약 12만여명의 개인정보(성명, ID, 이메일, 휴대전화번호, 계좌번호 등 44개 항목) 를 열람하였다.

  * JAMS는 JAMS 포털과 '25년 기준 1,617개의 학회페이지로 구성됨

 ** 비밀번호 찾기 페이지 URL에 기재된 이메일주소를 임의로 변경하면, 비밀번호 찾기에 필요한 전체 항목(ID, 이름, 이메일)을 입력하지 않아도 해당 회원의 개인정보 화면이 나타남

< ｢개인정보 보호법｣ 위반 내용 >

  조사 결과, 해당 취약점은 '13년부터 존재하였으나 연구재단은 장기간 이를 탐지·개선하지 못하였고 그 결과 이번 유출 사고로 이어졌다. 연구재단은 JAMS 포털을 대상으로만 취약점 점검을 실시하고 1,600여개에 달하는 학회페이지에 대해서는 취약점 점검을 실시하지 않은 것으로 나타났다.

  또한 연구재단은 6. 12. 유출통지를 하면서 유출 항목 중 개인 식별성이 높은 휴대전화번호와 계좌번호, 연구자등록번호 등을 누락하고 통지하는 등 유출통지를 적절히 수행하지 않은 사실도 확인됐다.

< 개인정정보보호 관리체계 전반 부실 >

  연구재단은 주민등록번호를 수집·이용하지 않으나, 일부 회원이 JAMS '비고'란에 주민등록번호를 임의로 기재함에 따라 주민등록번호도 116건 유출되었다. 연구재단은 유출사고 이전에 JAMS 웹방화벽에서 주민등록번호(숫자 13자리)가 탐지되었으나 이를 오탐으로 간주하고 사실 확인 등 후속조치를 하지 않았다. 

  또한 연구재단은 해킹 이후에도 충분한 시스템 개선 없이 시스템을 운영하다가 6. 17. JAMS 회원 명의를 도용하는 2차 피해가 발생하는 등 개인정보 보호체계 전반이 미흡한 것으로 나타났다.

< 조사 처분결과 및 의의 >

  개인정보위는 연구재단이 시스템 특성상 연구자의 기본적인 개인정보뿐만 아니라 연구 내용 등 광범위한 정보를 보유하고 있음에도 장기간 취약점 탐지·개선이 이루어지지 않았고, 개인정보보호 관리체계 전반이 부실했으며 명의도용이라는 2차 피해가 현실화된 점 등을 고려하여 이번 유출 사고를 매우 중대한 사고라고 판단하였다.

  이에 개인정보위는 연구재단이 안전조치의무를 위반하고 개인정보 유출통지를 미흡하게 한 것에 대해 7억 300만 원의 과징금과 480만 원의 과태료를 부과하였다. 또한 연구재단에 JAMS에 대한 취약점 점검을 실시하고, 누락한 항목을 포함하여 개인정보 유출통지를 다시할 것 등을 시정명령하였다. 아울러, 국가 핵심 연구기관에 걸맞은 수준으로 개인정보 보호 체계를 갖출 것을 개선권고하고 동시에 책임자 징계도 권고하였다. 이와 더불어 위반 상태가 장기간 지속된 점을 고려해 처분 결과를 개인정보위 홈페이지에 1년간 공표하고, 연구재단 홈페이지에도 공표하도록 명령하였다.  

  개인정보위는 관련 부처(과학기술정보통신부, 교육부)에 "JAMS 관리·운영 실태 점검을 강화하고, 산하 기관의 적극적인 개인정보 보호 투자 유인을 마련할 수 있도록 해 줄 것"을 요청하고, 주요 공공기관 대상 안전조치의무를 강화하도록 지속적으로 안내할 계획이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사총괄과 정민정(02-2100-3165)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”