데일리연합 (SNSJTV. 아이타임즈M) 곽중희 기자 | 최근 이화여자대학교(총장 김은미, 이하 이화여대)에서 해킹 공격으로 약 8만 명 졸업생의 개인정보가 유출되면서, 2차 피해에 대한 우려의 목소리가 커지고 있다.

현재 경찰은 개인정보 유출 경위를 파악하기 위해 내사에 착수한 상황이다.

이번에 이화여대에서 유출된 정보에는 졸업생의 성명, 주민등록번호, 연락처, 이메일, 주소, 본적, 학적 정보 등과 일부 졸업생의 보호자 정보도 포함된 것으로 알려졌다.

사건이 알려진 후, 이화여대 측은 홈페이지를 통해 안내 및 사과의 글을 게시했다.

이화여대 측은 “해킹 시도를 인지한 후부터 면밀한 조사와 보안 분석을 진행하고 있다”며 “ 통합정보시스템에 있는 일부 졸업생의 개인정보가 외부에서 조회된 사실을 확인했다”고 설명했다.

이어 “신속히 교육부와 개인정보보호위원회(위원장 고학수, 이하 개인정보위)에 신고를 진행했으며, 추가 피해가 발생하지 않도록 기관에 적극 협조 및 대응하고 있다”며 “개인정보 유출 피해를 최소화하기 위해 개인정보 유출 확인 및 주의사항 안내, 관련된 피해 상담 등의 민원센터를 운영하고 있다”고 덧붙였다.

또한, 이화여대 측은 “학교는 3일 실시간 모니터링 중 비정상적인 접근을 감지했다. 이후 즉각 비정상적인 접근을 차단했지만, 5일 오전 11시 경 1982학년도에서 2002학년도에 입학한 졸업생 일부의 개인정보가 유출된 것을 확인했다”며 유출 경위를 설명했다.

하지만, 피해를 입은 졸업생 등 일각에서는 과거 정보라고 해도 상당한 양의 민감 정보가 유출된 만큼, 학교 측에서 분명한 책임을 져야 한다는 지적이 나오고 있다. 2차 피해 등 불안감을 감출 수 없다는 것이다.

개인정보가 유출된 한 졸업생은 “정말 어이가 없다. 주소에 본적까지, 정보가 악의적으로 쓰이지 않을 것이라 하지만 어떻게 장담할 수 있나. 한 두 개 정보도 아니고 2차 피해가 우려돼 불안감을 감출 수 없다. 학교 측에서 제대로 관리를 했다면 어떻게 이런 일이 발생할 수 있나. (학교가) 책임을 분명히 져야 한다”고 비판했다.

현행 개인정보보호법상 안전조치 의무 위반은 과태료·과징금 대상이라 조사가 진행된 후 개인정보위에서 시정명령이나 과징금 등 조치를 취할 수 있다. 하지만 과실이 있다고 하더라도 형사처벌까지는 어려울 것으로 보인다.

한 보안업계 관계자는 “현재 조사가 진행 중이고 정보가 부족해 해커의 해킹 방법에 대해서는 알 수 없다. 하지만 2차 피해가 우려되는 건 사실”이라며 “일반적으로 대량의 개인정보가 유출되면 공격자가 직접 개인화된 피싱 공격에 활용하거나, 지인을 사칭해 피싱 공격을 할 수 있다. 혹은 다크웹에 통째로 올려서 판매할 수도 있다. 또한, 또다른 공격자가 이런 정보를 사서 피싱이나 스팸 발송이 이용할 수도 있다”고 설명했다.

개인정보위 관계자는 “사고 접수돼 사건을 살펴보고 있다. 추후 조치를 할 예정”이라고 말했다.

한편, 지난 7월에는 경북대학교 대학원생 5900명의 개인정보가 유출돼 논란이 일기도 했다. 당시 경북대는 학생들에게 정보 유출 사실을 알리고 공식적으로 사과한 바 있다.

이번 사건을 계기로 개인정보위의 대학교 내 개인정보 유출에 대한 관리감독이 더욱 강화될 전망이다.