[시민일보 = 박소진 기자] 온라인 논문투고 시스템(JAMS) 해킹으로 약 12만명의 개인정보가 유출된 한국연구재단이 개인정보보호위원회로부터 7억300만원 과징금과 480만원 과태료 처분을 받았다.

개인정보위는 28일 전체회의에서 연구재단이 안전조치 의무를 위반하고 개인정보 유출통지를 미흡하게 한 점을 고려해 이같이 의결했다고 29일 밝혔다.

조사 결과, 해커는 지난해 6월6일 JAMS 학회 페이지의 '비밀번호 찾기' 기능 취약점을 악용해 파라미터 변조와 이메일 무작위 대입 방식으로 회원 약 12만명의 개인정보를 열람한 것으로 확인됐다.

유출 정보에는 이름, 아이디(ID), 이메일, 휴대전화, 계좌번호 등 총 44개 항목이 포함됐다.

JAMS는 포털과 1617개 학회 페이지로 구성된 한국연구재단의 온라인 논문 투고ㆍ심사 시스템이다.

비밀번호 찾기 페이지 URL(인터넷주소)에 기재된 이메일 주소를 임의로 바꾸면, 필수 입력 항목을 채우지 않아도 회원 개인정보가 화면에 노출되는 구조였던 것으로 조사됐다.

개인정보위는 해당 취약점이 2013년부터 존재했음에도 연구재단이 장기간 탐지ㆍ개선하지 못했다고 지적했다.

재단은 JAMS 포털만 점검하고 학회 페이지는 별도로 확인하지 않은 것으로 나타났다.

또한 연구재단은 지난해 6월12일 개인정보 유출 사실을 통지하면서 휴대전화, 계좌번호, 연구자등록번호 등 주요 정보를 일부 누락한 것으로 확인됐다.

연구재단은 주민등록번호를 수집ㆍ이용하지 않았지만, 일부 회원이 JAMS '비고'란에 주민등록번호를 임의로 기재하면서 총 116건의 주민등록번호가 함께 유출됐다.

해킹 사고 이후에도 충분한 시스템 개선 없이 운영을 이어가다 지난해 6월17일 JAMS 회원 명의를 도용한 2차 피해가 발생하는 등 사고 대응과 사후 관리도 미흡했던 것으로 나타났다.

개인정보위는 "연구재단이 연구자의 기본 개인정보뿐 아니라 연구 내용 등 광범위한 정보를 보유한 국가 핵심 연구기관임에도 장기간 취약점 관리가 이뤄지지 않았고, 명의도용이라는 2차 피해까지 현실화했다는 점을 고려해 이번 사고를 '중대한 개인정보 유출 사고'로 판단했다"고 설명했다.

이에 따라 재단은 과징금ㆍ과태료 처분과 함께 JAMS 전반 취약점 점검과 누락 항목 포함 유출 통지 재실시 명령을 받았다.

또한 기관에 맞는 개인정보 보호 체계 구축과 관련 책임자에 대한 징계도 권고됐다.

아울러 위반 상태가 장기간 지속된 점을 고려해 처분 결과를 개인정보위 홈페이지에 1년간 공표하고, 한국연구재단 홈페이지에도 동일하게 공표하도록 명령했다.

개인정보위는 과기정통부와 교육부에 JAMS 관리ㆍ운영 실태 점검 강화와 산하 기관의 개인정보 보호 투자 유도를 요청했으며, 주요 공공기관 대상 안전조치 의무 강화 안내를 지속할 계획이라고 밝혔다.