7→23건… 대학 개인정보 유출 3배씩 느는데 '소 잃고 외양간도 안 고친다'

입력
2024.10.14 13:00
10면
수만 건 유출 이대 외 7,8월만 5건 사고 발생
해킹·아이디 탈취 등 보안 취약 40%나 차지
당국, 일부 조사 생략... 사후 제재 한계 지적

지난달 이화여대 학사시스템 해킹으로 졸업생 수만 명의 개인정보가 유출된 사건에 대한 서울경찰청 사이버수사대의 입건 전 조사(내사)가 약 한 달째 진행되는 가운데, 최근 3개월간 대학 기관에서 개인정보가 새어나간 사건만 최소 6건인 것으로 파악됐다. 정보 유출도 문제지만 더 심각한 건 사후 조치다. 대학들의 신고를 받은 교육 당국의 대처가 미진한 탓에 유출 사고가 반복된다는 지적이 나온다.

3배씩 느는 대학 정보 유출...40%가 해킹

14일 한국일보가 박성준 더불어민주당 의원실을 통해 확보한 자료에 따르면, 2022년부터 2024년까지 교육부에 신고된 대학 및 고등교육기관의 개인정보 유출은 총 52건이다. 2022년 7건에서 작년 23건으로 3배 폭증했고, 올해도 8월까지 벌써 22건으로 작년 전체 수준을 육박하고 있다. 특히 해킹이나 아이디 탈취 등 취약한 보안 환경을 악용한 사례가 17건으로 전체의 약 40%에 달했다.

최근 석 달로 범위를 좁혀보면 이화여대를 제외하고도 5건의 개인정보 유출이 발생했다. 7월 전북대에선 소스코드(소프트웨어 제작에 활용되는 설계도)의 약점을 노려 탈취한 아이디로 인한 외부 공격에 구성원 약 34만 명의 주민등록번호, 휴대폰 번호, 주소 등 74개 항목이, 8월 선문대와 동신대에서도 홈페이지 오류 등의 이유로 1,000여 건의 개인정보가 빠져나갔다.

대학기관 정보 유출을 더 경계해야 하는 이유가 있다. 각종 학생지원 프로그램에서 요구하는 다양하고 세부적인 정보가 모인다는 특수성 때문이다. 실제 지난 3년간 현황을 확인해보니, 기업체 등에서 통상적으로 빠져나가는 생년월일, 휴대폰 번호, 계좌번호, 주소뿐 아니라 비상연락망으로 등록된 보호자 연락처, 장학금 신청을 위한 소득분위 정보와 교환학생 지원을 위한 여권 사본까지 유출 범위에 포함된 경우가 있었다.

조사 생략·상습대학 제재 한계도

그러나 당국의 대응은 미온적이다. 현행 개인정보보호법령에 따라 정보 유출이 발생했을 때 대학은 교육부에 신고하고 조치확인서를 제출해야 한다. 이후 교육부가 피해 규모와 경위를 고려해 원격 혹은 현장조사를 실시한다. 그러나 3년간 교육부 조사는 각각 원격 3번, 현장 5번에 그친 것으로 나타났다. 기관 내 관리 강화 방안 등을 안내하는 사후 조치격인 현장컨실팅도 신청한 대학에만 지원해 3회가 전부였다. 이에 대해 교육부 관계자는 "경찰이 수사에 나섰거나 자체적으로 학교 차원에서 수습했다고 판단되면 조사를 생략하기도 한다"며 "신종 해킹 기법 등이 포착된다면 매뉴얼을 제작해 자체 점검하도록 안내하고 있다"고 해명했다.

상습적으로 사고가 발생하는 대학들에 대한 제재 수단도 마땅치 않다. 홍익대의 경우 3년간 4건의 정보 유출이 발생했고, 2022년 계정 탈취로 56만 건의 개인정보가 빠져나간 경북대도 이후 2번이나 더 비슷한 사고가 났다. 그러나 이러한 대학들에 직접적인 페널티(불이익)를 줄 법적 근거가 없다. 정보유출은 매년 있는 정보보호수준 진단 평가에서 감점 요소로 작용할 수 있는데, 그 결과를 대학정보공시에 공개하는 정도다. 교육 당국에 지도권한이 있는 국립대학은 조사에 비협조적일 경우 감사라도 가능하지만, 사립대학은 이마저도 불가능하다.

이유진 기자