← 목록으로
이화여자대학교
8만 3천 명피해 추정 인원
4개유출 항목 수
처분 완료처분 결과
유출된 개인정보 항목
성명학번주민등록번호기타 학사정보
사고 경위
해커가 2024년 9월 2일부터 3일 사이 이화여자대학교 통합행정시스템의 DB 조회 기능 취약점을 악용한 파라미터 변조 공격을 시도했다. 약 10만 회의 파라미터 변조 및 무작위 대입을 통해 학부생 및 학부 졸업생 8만 3천여 명의 주민등록번호를 포함한 개인정보를 탈취했다.
해당 취약점은 2015년 11월 시스템 구축 당시부터 존재해 왔으며, 기본적인 보안 체계는 갖추고 있었으나 동일 IP에서 타인 개인정보를 반복적으로 조회하는 비정상 접근에 대한 탐지·차단이 미흡했다. 특히 야간·주말 모니터링이 소홀하여 불법 접근 통제가 제대로 이루어지지 않았다.
개인정보보호위원회는 2025년 6월 11일 제13회 전체회의에서 안전조치 의무 위반을 이유로 과징금을 부과하고 시정명령·공표명령·징계권고를 하기로 의결했다.
처분 결과
과징금 3억 4,300만 원, 시정명령, 공표명령, 징계권고
출처: 개인정보보호위원회출처 보기 →