[정보통신기획평가원(IITP)] 개인정보 접속기록관리 시스템 해킹, 7개월 만에 재발_2026년 07월
과학기술정보통신부 산하 정보통신기획평가원(IITP)의 개인정보 접속기록관리 시스템이 해킹됐다. 유지·보수 업체 담당자가 방화벽 스위치에 '차단' 대신 '허용' 값을 입력한 관리 실수가 원인으로 알려졌으며, 지난해 12월 직원 개인정보 유출 사고 이후 불과 7개월 만에 재발한 사고다. 연구자 개인정보 유출 여부는 현재 조사 중이다.

□ 개요
2026년 07월 06일 정보통신기획평가원(IITP)의 개인정보 접속기록관리 시스템이 해킹된 사실이 확인됐다. 국내 정보통신기술(ICT) R&D 사업을 총괄하며 국가 연구·개발 예산과 연구자 정보를 관리하는 핵심 기관에서 발생한 사고라는 점에서 파장이 예상된다.
최근 과기정통부 보안 점검 이후 정보통신기획평가원 시스템 유지·보수 업체 담당자가 방화벽을 보호하는 여러 스위치 중 개인정보 접속기록관리 시스템에 실수로 '차단' 대신 '허용' 값을 입력한 것이 원인으로 알려졌다. 국가 ICT R&D를 관리하는 전문 기관에서 관리자의 기본적인 보안 조치 미흡으로 사고가 발생한 셈이다.
정보통신기획평가원은 올해 기술개발 1조3256억원, 인재양성 5740억원 등 총 1조8996억원 규모의 국가 ICT R&D 예산을 관리하고 있으며, 대학·기업·기관 소속 연구자들의 개인정보와 연구과제 정보가 시스템에 집중돼 있어 일반 정보시스템보다 높은 수준의 보안 관리가 요구된다.
이번 사고는 정보통신기획평가원이 지난해 12월 17일 외부의 지능형 위협(APT) 공격으로 직원 개인정보(소속, 직급, 성명, 사무실 전화, 담당 업무) 일부가 유출된 지 불과 7개월 만에 재발한 것이다. 다만 지난해 사고는 사내 직원 정보였던 반면, 이번 사고는 외부에서 접속하는 연구자·사업 참여자의 로그 기록이라는 점에서 성격이 다르다.
정보통신기획평가원은 해킹 침해가 확인돼 개인정보보호위원회에 신고를 완료했으나, 1차 포렌식 검사로는 접속 기록 로그에서 어떤 정보가 유출됐는지 파악되지 않아 로그 시스템 개발업체와 함께 유출 정보를 확인하고 있다는 입장이다. 연구자 개인정보 등 데이터베이스 유출 여부는 아직 확인 중이다.
□ 사고내용 요약
1. 회사명(기관명) : 정보통신기획평가원(IITP)
2. 사고유형
- 방화벽 설정 오류(관리자 실수)에 따른 해킹·비인가 접근 사고
- 개인정보 접속기록관리 시스템 침해 사고
- 연구자·사업 참여자 개인정보 유출 의심 사고
- 반복(재발) 해킹 사고
3. 유출규모
- 조사 중(연구자 데이터베이스 유출 여부 등 미확정)
4. 유출항목(조사 중/추정)
- 개인정보 접속기록 로그
- 연구자·사업 참여자 개인정보(포함 여부 조사 중)
※ 참고: 2025년 12월 사고 유출항목 - 직원 소속·직급·성명·사무실 전화·담당업무
5. 특이사항
- 원인이 외부 침투 기술이 아닌 관리자의 방화벽 설정 실수('차단'→'허용')로 확인
- 2025년 12월 직원 정보 유출 사고 이후 7개월 만에 재발
- 이번엔 내부 직원이 아닌 외부 연구자·사업 참여자 정보가 대상이라는 점에서 이전 사고와 성격 상이
- 사고 발생(7월 6일)과 개인정보보호위원회 신고(7월 9일) 사이 3일 소요(72시간 신고 의무 관련)
- 1차 포렌식 검사만으로는 유출 정보 특정이 어려워 로그 시스템 개발업체와 추가 분석 진행 중
- 같은 시기 정부 창업 지원 플랫폼 '모두의 창업' 해킹 사고도 발생해 공공 ICT 플랫폼 전반의 보안 관리 체계 점검 필요성 제기
□ 사고대응 타임라인
- 2025년 12월 17일
. (이전 사고) 외부 APT 공격으로 직원 개인정보 일부 유출
- 2026년 07월 06일
. 유지·보수 업체 담당자의 방화벽 스위치 설정 오류('허용')로 개인정보 접속기록관리 시스템 해킹 발생
- 2026년 07월 09일
. 개인정보보호위원회 신고 완료
. 1차 포렌식 검사 실시
- 2026년 07월 15일
. 사고 사실 언론 단독 보도
. 로그 시스템 개발업체와 함께 접속 로그 기반 유출 정보 확인 작업 진행 중
- 조사 진행 중
. 연구자 개인정보 데이터베이스 유출 여부 확인
. 정확한 유출 범위·항목 확정
□ 대응내역
- 개인정보보호위원회 신고 완료(7월 9일)
- 1차 포렌식 검사 실시
- 접속 로그 기반 추가 유출 정보 확인 작업(로그 시스템 개발업체 협조)
- 연구자 개인정보 데이터베이스 유출 여부 확인 진행 중
※ 방화벽 설정 원상 복구 등 구체적 기술 조치 내역은 추가 확인 필요
□ 재발방지대책(권고사항)
1. 기술적 조치
- 방화벽·네트워크 장비 설정 변경 시 이중 검토 및 자동 검증 체계 도입
- 설정 변경 이력 관리 및 실시간 알림 체계 구축
- 개인정보 접속기록관리시스템 등 핵심 시스템 접근통제 강화
- 유지·보수 업체(외주) 작업에 대한 상시 모니터링 및 승인 절차 강화
- 침입탐지·침입방지시스템(IDS/IPS) 및 이상행위 탐지 고도화
- 정기 취약점 점검 및 모의해킹 수행
2. 관리적 조치
- 외주 인력의 보안 설정 작업에 대한 내부 승인·검토 절차 의무화
- 반복 사고 재발 방지를 위한 전사 보안관리체계 전면 재점검
- 개인정보 처리시스템 운영·유지보수 위탁업체 관리·감독 강화
- 72시간 신고 의무 등 침해사고 대응 프로세스 준수 점검
- 연구자 등 정보주체 대상 유출 확인 시 신속한 통지 절차 마련
- 정보보호 최고책임자(CISO) 중심의 보안 거버넌스 재정비
□ 관련기사(출처)
감사합니다.