개인정보보호위원회는 1월 28일 제2회 전체회의를 열고 개인정보 보호 법규를 위반한 한국연구재단에 대해 과징금과 과태료를 부과하기로 의결했다. 아울러 처분 결과를 개인정보위 누리집과 한국연구재단 홈페이지에 공표하도록 명령했다.

개인정보위는 개인정보 유출 신고를 접수한 뒤 조사에 착수했으며, 그 결과 한국연구재단이 운영하는 온라인 논문투고시스템인 JAMS(Journal & Article Management System)에서 「개인정보 보호법」을 위반한 사실을 확인했다.

조사에 따르면 2025년 6월 6일 해커는 JAMS 내 학회 페이지의 ‘비밀번호 찾기’ 기능에 존재하던 취약점을 악용했다. 해커는 URL 파라미터 변조와 이메일 무작위 대입 방식으로 접근해, JAMS 회원 약 12만 명의 개인정보를 열람한 것으로 드러났다. 유출된 정보에는 성명, 아이디(ID), 이메일, 휴대전화번호, 계좌번호 등 총 44개 항목이 포함됐다.

문제의 취약점은 2013년부터 존재했던 것으로 조사됐으나, 한국연구재단은 이를 장기간 인지하거나 개선하지 못한 것으로 나타났다. 특히 JAMS 포털에 대해서만 제한적인 취약점 점검을 실시하고, 약 1,600여 개에 이르는 개별 학회 페이지에 대해서는 별도의 보안 점검을 하지 않아 관리 공백이 컸다는 지적을 받았다.

또한 연구재단은 6월 12일 이용자들에게 유출 사실을 통지하면서, 개인 식별성이 높은 휴대전화번호와 계좌번호, 연구자등록번호 등을 누락한 채 안내해 유출 통지를 적절히 이행하지 않은 사실도 확인됐다.

이와 함께 연구재단은 주민등록번호를 공식적으로 수집·이용하지는 않았지만, 일부 회원이 JAMS의 ‘비고’란에 주민등록번호를 임의로 기재하면서 총 116건의 주민등록번호가 유출된 것으로 파악됐다. 사고 이전 웹방화벽에서 주민등록번호 형식의 숫자가 탐지됐음에도 이를 오탐으로 판단하고 추가 확인이나 조치를 하지 않은 점도 문제로 지적됐다.

개인정보위는 이번 사고를 계기로 대규모 개인정보를 처리하는 공공기관과 위탁 시스템 운영 주체들이 전반적인 보안 관리 체계를 재점검할 필요가 있다고 강조했다.

오랜 기간 방치된 취약점은 결국 사고로 이어졌다. 공공 연구 인프라일수록 ‘관행적 관리’가 아닌 상시 점검과 책임 있는 개인정보 보호 체계가 요구된다.

[비즈데일리 유정흔 기자]