![[서울=뉴시스] 추상철 기자 = 송경희 개인정보보호위원회 위원장이 18일 오전 서울 종로구 정부서울청사에서 열린 제2회 과학기술관계장관회의에서 발언하고 있다. 2025.12.18. scchoo@newsis.com /사진=추상철](https://thumb.mt.co.kr/cdn-cgi/image/f=avif/21/2026/01/2026012907451418028_1.jpg)
개인정보보호위원회가 대규모 개인정보 유출 사고를 일으킨 한국연구재단에 과징금과 과태료를 부과했다. 13년간 방치된 시스템 취약점이 원인이었고, 명의도용 등 2차 피해까지 발생한 점이 중대하게 작용했다.
개인정보보호위원회는 지난 28일 제2회 전체회의를 열고 개인정보 보호 법규를 위반한 한국연구재단에 과징금 7억300만 원과 과태료 480만원을 부과하기로 의결했다. 처분 결과는 개인정보위 홈페이지와 한국연구재단 홈페이지에 1년간 공표된다.
조사 결과 해커는 2025년 6월 6일 한국연구재단이 운영하는 온라인논문투고시스템 JAMS의 학회페이지에서 '비밀번호 찾기' URL 취약점을 악용했다. 이메일 주소를 임의로 변경하는 방식으로 파라미터를 변조해 추가 인증 없이 개인정보 화면에 접근할 수 있었던 것으로 확인됐다.
이 과정에서 JAMS 회원 약 12만여명의 개인정보가 열람됐다. 유출된 정보는 성명, 아이디, 이메일, 휴대전화번호, 계좌번호 등 총 44개 항목에 달한다. JAMS는 포털과 함께 2025년 기준 1617개 학회페이지로 구성돼 있다.
문제의 취약점은 2013년부터 있었지만 연구재단은 이를 장기간 탐지하거나 개선하지 못했다. 취약점 점검 역시 JAMS 포털에만 한정돼 있었고, 1600여개 학회페이지는 점검 대상에서 제외된 것으로 드러났다.
개인정보 유출 통지도 부실했다. 연구재단은 6월 12일 유출 사실을 알리면서 휴대전화번호, 계좌번호, 연구자등록번호 등 개인 식별성이 높은 항목을 누락한 채 통지했다.
연구재단은 주민등록번호를 공식적으로 수집하지 않지만, 일부 회원이 JAMS '비고'란에 주민등록번호를 기재하면서 총 116건의 주민등록번호가 함께 유출됐다. 유출 이전 웹방화벽에서 숫자 13자리 패턴이 탐지됐지만 연구재단은 이를 오탐으로 판단하고 후속 조치를 하지 않았다.
해킹 이후에도 시스템 개선이 충분히 이뤄지지 않아 6월 17일 JAMS 회원 명의를 도용한 2차 피해까지 발생했다. 개인정보 보호 관리체계 전반이 미흡했다는 판단이다.
개인정보위는 연구재단이 연구자 개인정보뿐 아니라 연구 내용 등 광범위한 정보를 보유한 국가 핵심 연구기관임에도 장기간 취약점이 방치됐고, 2차 피해까지 현실화됐다는 점에서 이번 사고를 매우 중대한 개인정보 유출 사고로 판단했다.
독자들의 PICK!
이에 따라 개인정보위는 안전조치 의무 위반과 부실한 유출 통지 책임을 물어 과징금과 과태료를 부과했다. JAMS 전반에 대한 취약점 점검 실시, 누락 항목을 포함한 유출 통지 재실시를 시정명령했다. 아울러 개인정보 보호 체계 개선과 책임자 징계도 권고했다.
개인정보위는 과학기술정보통신부와 교육부에 JAMS 관리·운영 실태 점검 강화를 요청하고, 공공기관의 개인정보 보호 투자 유인을 확대하도록 지속 안내할 계획이다.
