NARS Brief 제92호
한국연구재단 해킹 사고 현안점검 간담회

- 일 시 : 2025년 7월 1일(화) 오후 3시
- 장 소 : 국회입법조사처 세미나II실

발표 문선영 한국연구재단 연구정책성과전략본부장
        채홍준 교육부 학술연구정책과장

토론 이석래 한국연구재단 사무총장
        조석민 한국연구재단 연구데이터분석팀장
        이원덕 한국연구재단 정보보안팀장
        윤종규 한국연구재단 경영전략팀장
        박선홍 한국연구재단 국회협력관
        이영선 교육부 학술연구정책과 사무관
        최원석 김준혁 의원실 선임비서관
        이덕난 국회입법조사처 교육문화팀장
        황현희 국회입법조사처 과학방송통신팀장
        강은수 국회입법조사처 입법조사관
        조인식 국회입법조사처 입법조사관

참석 홍일표 국회입법조사처 사회문화조사실장

개요
국회입법조사처는 한국연구재단이 운영하는 JAMS(Journal & Article Management System, 온라인 논문투고 심사시스템)에서 발생한 해킹의 개요와 현안을 살펴보고 한국연구재단의 정보보안을 강화하기 위한 입법 및 정책 과제를 논의하기 위하여 간담회를 개최하였다. 문선영 본부장은 JAMS 해킹 사건의 피해 현황과 한국연구재단의 대응 및 해킹에 대비한 개선 방안을 발표하였다. 채홍준 과장은 교육부의 한국연구재단 관리와 감독에 대하여 발표하였다. 토론자들은 한국연구재단이 JAMS 해킹의 초기 대응에 미흡했다는 점을 지적하였고, 한국연구재단은 이번 해킹과 관련하여 JAMS 취약점 개선과 사용자 인증 강화를 통한 부적절한 접근을 차단하는 조치와 함께 모든 정보시스템의 취약점을 점검하여 개선하겠다는 입장을 밝혔다. 국회입법조사처는 JAMS 해킹의 원인을 진단하여 입법 및 정책 대안을 제시하는 「이슈와논점」 보고서를 발간할 예정이다.

□ 발제 요지
문선영 본부장(한국연구재단)은 미국, 홍콩, 대만, 중국, 덴마크, 영국 등 19개 IP주소에서 해킹 공격을 시도하여 한국연구재단이 운영하는 JAMS의 개인정보가 유출되었다고 설명하였다. 한국연구재단은 JAMS 해킹을 6월 6일(금)에 이용자 신고로 최초 인지하였고, 자체조사 결과 개인정보 유출 가능성은 없다고 공지하였다. 하지만, 6월 9일(월) 보안 전문기관이 점검한 결과 개인정보가 유출된 사실을 인지하고, 6월 12일(목)에 개인정보가 유출된 대상자에게 개별 통보하였다.
JAMS　해킹 사건으로 12만 2,954명의 개인정보가 유출되었다. 유출된 개인정보는 ID, 이름(한글/영문), 이메일, 휴대폰 번호, 직장정보, 계좌정보(은행명, 계좌번호(암호화), 예금주) 등이다. JAMS 시스템 ‘비고’란에 주민등록번호 입력은 선택사항이지만, 일부 회원이 자발적으로 입력한 주민등록번호 116건이 유출되었다.
한국연구재단이 2008년에 구축한 JAMS 시스템은 개통 당시부터 비밀번호 변경을 위하여 ID, 이름, 생년월일, 이메일 등을 입력하지 않아도 비밀번호가 변경되도록 프로그래밍 되어서 해당 취약점을 인지하기 어려웠다고 하였다.
JAMS의 취약점을 개선하기 위하여 ID, 이름, 생년월일, 이메일 등 전체 정보를 입력하여 JAMS 데이터와 일치하는 경우 비밀번호가 변경되도록 조치하였고, 사용자 인증을 강화하여 부적절한 접근을 차단하였다. 한국연구재단은 정보시스템을 전부 점검하여 해킹에 취약점을 개선할 예정이다.
채홍준 과장(교육부)은 한국연구재단으로부터 JAMS 개인정보 탈취와 관련하여 보고받고, 개인정보가 유출된 연구자들에게 이메일과 문자 및 유선 등 다양한 경로로 안내하도록 하였다고 하였다. 교육부는 「한국연구재단법」 제17조(검사 등)에 근거하여 교육부 장관이 한국연구재단의 업무, 회계 및 자산 상황 등을 검사한다고 하였다.

□ 토론
이석래 사무총장(한국연구재단)은 한국연구재단이 공공기관이므로 개인정보가 유출된 피해자들에게 보상하기 위한 예산 확보가 어렵다고 하였다. JAMS 이용 학회에서 논문 심사료를 한시적으로 낮추는 등 다른 보상 방안을 논의하고 있다고 하였다.
이원덕 팀장(한국연구재단)은 인력이 부족하여 24시간 해킹을 관제하는 시스템을 가동하지 못해서 사전에 인지하지 못했다고 설명하였다. 한국연구재단은 화이트해커를 고용하여 모의 해킹을 실시하고 정보시스템의 취약 부분을 개선할 예정이라고 하였다.
조석민 팀장(한국연구재단)은 해킹으로 개인정보가 유출된 12만 명 연구자들의 세부 현황을 분석하여 피해 대응에 활용할 예정이라고 하였다.
최원석 선임비서관(김준혁 의원실)은 해킹으로 유출된 연구자들의 개인정보가 다른 곳에 활용되어 2차와 3차 피해가 발생할 우려가 있다는 점을 지적하였다. 개인정보가 유출된 연구자들에게 다른 피해를 예방하기 위하여 자세한 안내가 필요하다고 하였다.
이덕난 팀장(국회입법조사처)은 한국연구재단이 해킹 사고 발생 이후 초기 대응에 문제가 있었다고 지적하였다. 한국연구재단은 79만 명의 우리나라 연구자들의 데이터가 있는 중요한 기관으로 해킹에 대비하는 체제를 구축하기 위하여 기관 차원에서 인력과 기술적 시스템을 정비할 필요가 있다고 하였다.
황현희 팀장(국회입법조사처)은 국회입법조사처가 6월 9일부터 12일까지 해킹과 관련된 현안을 점검하기 위하여 한국연구재단과 소통하였다. 국회입법조사처는 한국연구재단이 6월 12일에 개인정보가 유출된 당사자들에게 공식적으로 통지하기 전까지 관련 내용에 대하여 설명을 듣지 못했다는 점을 지적하였다.

문 의 : 조인식 입법조사관(교육문화팀)
02-6788-4705, insik@assembly.go.kr