∙ 2025년 6월 12일, 개인정보보호위원회는 개인정보보호법을 위반하여 개인정보를 유출한 전북대학교와 이화여자대학교에 총 9억 6,600만 원의 과징금과 540만 원의 과태료를 부과했다고 발표함
 
- (주요내용) 각 대학별 개인정보보호법 위반 내용과 처분 결과는 다음과 같음

(1) 전북대학교
∙ (사건 개요) 해커는 전북대학교 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점(2010년 시스템 구축 당시부터 존재)을 악용하여 학번 정보를 입수한 후 학적정보 조회 페이지 등에서 약 90만 회의 파라미터 변조¹⁾ 및 무작위 대입을 통해 학생 및 홈페이지 회원 32만여 명의 개인정보에 접근함
∙ (위반 내용) 전북대학교는 기본적 보안 장비는 갖추고 있었으나 외부 공격에 대한 대응이 미흡하였고, 특히 일과시간 외에는 모니터링을 소홀히 하여 주말‧야간에 발생한 비정상적 트래픽 급증 현상을 뒤늦게 인지함
∙ (처분 결과) 개인정보보호위원회는 전북대학교에 총 6억 2,300만 원의 과징금과 540만 원의 과태료를 부과하면서 이를 대학 홈페이지에 공표하도록 명하는 한편, 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령 함과 동시에 책임자에 대한 징계도 권고함

(2) 이화여자대학교
∙ (사건 개요) 해커는 데이터베이스 조회 기능의 취약점(2015년 시스템 구축 당시부터 존재)을 악용한 파라미터 변조 공격으로 이화여자대학교 통합행정시스템에 침입하여 8만 3천여 명의 주민등록번호를 포함한 개인정보를 탈취함
∙ (위반 내용) 이화여자대학교 역시 기본적인 보안 체계는 갖추고 있었으나 외부 공격(예: 동일한 IP에서 타인의 개인정보를 반복적으로 조회 시도하는 경우 등)에 대한 대응이 미흡하였고, 특히 일과시간 외에는 주말‧야간 모니터링을 소홀히 하는 등 외부의 불법적인 접근 통제 조치가 미흡함
∙ (처분 결과) 개인정보보호위원회는 이화여자대학교에 총 3억 4,300만 원의 과징금을 부과하면서 이를 대학 홈페이지에 공표하도록 명하는 한편, 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령 함과 동시에 책임자에 대한 징계를 권고함

- (의의) 대학은 생성규칙이 단순한 ‘학번’ 등을 기준으로 개인정보를 관리하고 있어 파라미터 변조 공격에 취약한 측면이 있고, 대규모 고유식별정보를 처리하고 있어 유출 사고 발생 시 막대한 피해가 예상됨에 따라 외부의 불법적인 접근을 24시간 철저히 모니터링하는 등 각별한 주의가 필요하다는 것을 상기시킴

1) 웹 어플리케이션에서 입력된 데이터 검증 로직의 취약점을 악용하여 입력값 조작을 통해 개인정보를 탈취하는 해킹 기법을 말함(출처: 개인정보보호위원회).