(누리일보) 개인정보보호위원회는 1월 28일 제2회 전체회의를 열고, 개인정보 보호 법규를 위반한 한국연구재단에 과징금 및 과태료를 부과했다. 아울러, 처분 결과를 개인정보위 홈페이지에 공표하고 해당 사업자 홈페이지에도 결과를 공표할 것을 의결했다.

 

개인정보위는 개인정보 유출 신고에 따라 조사한 결과, 한국연구재단이 운영하는 온라인논문투고시스템(Journal&Article Management System)의 '개인정보 보호법' 위반사실을 확인했다.

 

구체적인 위반 내용과 처분 결과 2025년 6월 6일 해커는 JAMS 내 학회페이지의 ‘비밀번호 찾기’ 인터넷주소(URL)에 존재하는 취약점을 악용하여 파라미터 변조 및 이메일 무작위 대입을 통해 JAMS 회원 약 12만여명의 개인정보(성명, ID, 이메일, 휴대전화번호, 계좌번호 등 44개 항목) 를 열람했다.

 

조사 결과, 해당 취약점은 2013년부터 존재했으나 연구재단은 장기간 이를 탐지·개선하지 못했고 그 결과 이번 유출 사고로 이어졌다. 연구재단은 JAMS 포털을 대상으로만 취약점 점검을 실시하고 1,600여개에 달하는 학회페이지에 대해서는 취약점 점검을 실시하지 않은 것으로 나타났다.

 

또한 연구재단은 6월 12일 유출통지를 하면서 유출 항목 중 개인 식별성이 높은 휴대전화번호와 계좌번호, 연구자등록번호 등을 누락하고 통지하는 등 유출통지를 적절히 수행하지 않은 사실도 확인됐다.

 

연구재단은 주민등록번호를 수집·이용하지 않으나, 일부 회원이 JAMS ‘비고’란에 주민등록번호를 임의로 기재함에 따라 주민등록번호도 116건 유출됐다. 연구재단은 유출사고 이전에 JAMS 웹방화벽에서 주민등록번호(숫자 13자리)가 탐지됐으나 이를 오탐으로 간주하고 사실 확인 등 후속조치를 하지 않았다.