개인정보위, 12만명 정보 유출된 한국연구재단에 과징금 7억원

온라인논문투고시스템 해킹…회원 명의 도용 2차 사고도 발생

장기간 취약점 개선 못 해…"중대한 위반으로 판단"

(서울=연합뉴스) 차민지 기자 = 개인정보보호위원회가 온라인논문투고시스템(JAMS) 해킹으로 12만여명의 개인정보가 유출된 한국연구재단에 과징금 7억300만원과 과태료 480만원을 부과했다.

개인정보위는 28일 열린 전체 회의에서 연구재단이 안전조치 의무를 위반하고 개인정보 유출통지를 미흡하게 한 점을 고려해 이같이 의결했다고 29일 밝혔다.

개인정보위 조사 결과, 해커는 작년 6월 6일 JAMS 내 학회 페이지의 '비밀번호 찾기' 기능에 존재하던 취약점을 악용해 파라미터 변조와 이메일 무작위 대입 방식으로 회원 약 12만명의 개인정보를 열람한 것으로 확인됐다.

유출된 정보에는 성명, 아이디(ID), 이메일, 휴대 전화번호, 계좌번호 등 총 44개 항목이 포함됐다.

JAMS는 한국연구재단이 운영하는 온라인 논문 투고·심사 시스템으로, 포털과 함께 1천617개의 학회 페이지로 구성돼 있다.

비밀번호 찾기 페이지의 인터넷주소(URL)에 기재된 이메일 주소를 임의로 변경하면 필수 입력 항목을 모두 입력하지 않아도 회원 개인정보 화면이 노출되는 구조였던 것으로 조사됐다.

개인정보위는 이같은 취약점이 2013년부터 존재했음에도 연구재단이 이를 장기간 탐지·개선하지 못했다고 지적했다.

연구재단은 JAMS 포털에 대해서만 취약점 점검을 실시하고, 다수의 학회 페이지에 대해서는 별도의 점검을 하지 않은 것으로 나타났다.

또 연구재단은 작년 6월 12일 개인정보 유출 사실을 통지하면서 휴대 전화번호와 계좌번호, 연구자등록번호 등 개인 식별성이 높은 일부 유출 항목을 누락하는 등 유출 통지를 적절히 이행하지 않은 사실도 확인됐다.

연구재단은 주민등록번호를 수집·이용하지 않지만, 일부 회원이 JAMS '비고'란에 주민등록번호를 임의로 기재하면서 총 116건의 주민등록번호가 함께 유출됐다.

사고 이전 JAMS 웹방화벽에서 주민등록번호 형태의 숫자가 탐지됐음에도 이를 오탐으로 판단하고 추가 확인이나 조치하지 않은 것으로 조사됐다.

해킹 사고 이후에도 충분한 시스템 개선 없이 운영을 이어가다 작년 6월 17일 JAMS 회원 명의를 도용한 2차 피해가 발생하는 등 사고 대응과 사후 관리도 미흡했던 것으로 나타났다.

개인정보위는 연구재단이 연구자의 기본 개인정보뿐 아니라 연구 내용 등 광범위한 정보를 보유한 국가 핵심 연구기관임에도 장기간 취약점 관리가 이뤄지지 않았고, 명의도용이라는 2차 피해까지 현실화했다는 점을 고려해 이번 사고를 '중대한 개인정보 유출 사고'로 판단했다고 설명했다.

개인정보위는 과징금·과태료 처분에 더해 연구재단에 대해 JAMS 전반에 대한 취약점 점검을 실시하고, 누락된 항목을 포함해 개인정보 유출 통지를 다시 하도록 시정명령을 내렸다.

아울러 기관 위상에 걸맞은 개인정보 보호 체계를 갖출 것을 권고하고 관련 책임자에 대한 징계도 권고했다.

또 위반 상태가 장기간 지속된 점을 고려해 처분 결과를 개인정보위 홈페이지에 1년간 공표하고, 한국연구재단 홈페이지에도 동일하게 공표하도록 명령했다.

개인정보위는 과학기술정보통신부와 교육부에 JAMS 관리·운영 실태 점검을 강화하고, 산하 기관의 개인정보 보호 투자를 유도할 수 있는 방안을 마련해 달라고 요청했다.

아울러 주요 공공기관을 대상으로 안전조치 의무 강화를 지속해 안내할 계획이다.

chacha@yna.co.kr

제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지> 2026/01/29 11:00 송고 2026년01월29일 11시00분 송고