전국 주요 대학에서 발생한 대규모 개인정보 유출 사고로 대학생 수십만 명의 개인정보가 외부에 노출되는 심각한 사태가 벌어졌다. 교육기관의 안일한 보안 관리가 낳은 결과라는 지적이 쏟아지는 가운데, 학생들의 불안과 혼란은 커지고 있다.

■ 두 대학, 보안 허점 방치하다 대형 사고

개인정보보호위원회는 최근 회의를 통해 전북대학교와 이화여자대학교에 각각 과징금과 과태료를 부과했다. 두 학교 모두 학사정보시스템 구축 당시부터 보안 취약점을 방치했고, 특히 야간이나 주말에는 외부 침입을 탐지하거나 차단할 수 있는 체계조차 마련하지 않았던 것으로 확인됐다.

전북대학교는 지난해 7월, 학사행정 시스템의 비밀번호 찾기 기능에 존재하던 허점을 해커가 노리면서 개인정보 유출이 시작됐다. 해커는 약 90만 회에 걸친 반복적인 접속 시도를 통해 무작위로 정보를 조합했고, 이 과정에서 주민등록번호 28만 건을 포함한 총 32만 명의 정보가 유출됐다.

이화여대도 크게 다르지 않았다. 지난해 9월, 통합행정시스템이 외부 공격에 노출돼 약 8만 3천 명의 개인정보가 탈취당했다. 해당 시스템은 2015년부터 보안 취약점을 안고 있었고, 마찬가지로 외부 접근에 대한 감시 체계는 부실했다.

■ 전북대 6억, 이화여대 3억 넘는 과징금…그러나 학생은?

전북대학교에는 과징금 6억 2300만 원, 과태료 540만 원, 이화여자대학교에는 과징금 3억 4300만 원이 각각 부과됐다. 하지만 정작 학생 개개인에게 직접적인 피해보상이나 후속 대책은 명확히 언급되지 않았다.

정보보호위원회는 전북대에 대해 상시 모니터링 체계 구축과 책임자 징계를 요구했고, 이화여대에 대해서도 시스템 전면 보완 조치를 지시했지만, 유출 피해를 입은 학생들은 현재까지도 사후 지원이나 보상 절차에 대한 안내를 받지 못한 상태다.

■ 대학생들 "책임은 학교에 있는데, 피해는 왜 우리가?"

해당 사실이 보도되자 대학생 커뮤니티와 SNS상에서는 “등록금으로 시스템 개발했는데, 보안 관리는 전무했다”며 불만이 폭주하고 있다. 일부 학생은 본인의 주민등록번호와 연락처가 외부에 노출됐다는 사실에 “피싱 전화가 부쩍 늘었다”고 호소하기도 했다.

전문가들은 “해커의 공격은 대부분 야간과 주말에 집중되는데, 이를 감지할 수 있는 기본적인 침입 탐지 시스템조차 작동하지 않았다면 대학 측의 책임은 매우 크다”며 “단순한 과징금으로 끝날 문제가 아니며, 피해 학생에 대한 집단 보상 절차와 법률적 구제가 필요하다”고 강조했다.

■ 정부, 대학 전체 대상 보안실태 점검 예고

개인정보보호위원회는 이번 사태를 계기로 교육부에 전국 대학의 학사정보 시스템 보안 관리 지침을 강화해 줄 것을 요청했다. 또한 이러한 보안 수준이 향후 대학 평가에 반영될 수 있도록 검토하겠다고 밝혔다.

2023년부터 2025년 5월 말까지, 전국 대학에서는 이미 21건의 개인정보 유출 사례가 접수된 바 있다. 전문가들은 “더 이상 단일 사건이 아닌, 구조적인 문제”라며 학사 시스템의 외주 개발 및 유지보수 방식 전반을 다시 들여다볼 필요가 있다고 지적한다.