경북대 70만명 개인정보 털었다…5개 대학 뚫은 동아리 학생들

경북대 정보보안 동아리 학생 2명이 6개 대학과 기관을 해킹했다. 사진은 경북대학교 본관. [사진 경북대]

5개 대학 보안 시스템을 해킹했던 경북대 학생들이 또 다른 대학의 입시 정보까지 들여다봤던 것으로 드러났다.

개인정보보호위원회(개인정보위)는 11일 전체회의를 열어 “경북대·숙명여대 등 6개 대학·단체에 과징금·과태료 등으로 총 1억2080만원 부과를 의결했다”고 12일 밝혔다.

개인정보위, 경북대·숙명여대 등 징계

경북대 학생들은 숙명여대 입학사정관 시스템을 해킹했다. 사진은 숙명여대 전경. [사진 숙명여대]

개인정보위 조사에 따르면 경북대 정보보안동아리 학생 2명은 2021년 8월 경북대 학사관리 시스템에 무단 접속했다. 이들은 관리자 계정으로 접속해 경북대 재학생·졸업생·교수 등 70만명 정보를 유출했다. 이들은 중간고사 문제를 미리 빼돌려 시험에 응시하기도 했다.

특히 이들은 지금까지 알려진 인증지원시스템·통합연구행정지원시스템 이외에도, 입학정보시스템까지 해킹하는 데 성공했다고 개인정보위는 설명했다.

대구광역시 북구 경북대에서 문화주간 기간 관련 행사가 열리고 있다. [사진 경북대]

경북대 해킹에 성공한 이들은 숙명여대 2018년도 입학사정관 종합평가 시스템도 해킹했다. 2017년에 경북대·숙명여대에 지원했다가 합격한 18학번 재학생은 물론, 같은 해 낙방한 수험생 이름·수험번호·지원학과·출신고교 등 개인정보까지 노출된 것이다. 경북대와 숙명여대의 입시 시스템은 동일한 입시정보회사가 운영했다고 한다.

이들이 경북대·숙명여대 입시 시스템을 해킹한 방법은 크게 3단계다. 우선 다른 학생 학번·일련번호와 생체 인증 아이디를 조작했다. 이렇게 조작한 정보를 전송해 학교 시스템을 공격했다.

나아가 이들은 시스템 취약점을 악용해 악성코드를 업로드했다. 여기서 교내 데이터베이스에 접근할 수 있는 정보를 탈취할 수 있었다. 이들은 탈취한 정보를 토대로 대학 데이터베이스 테이블을 내려받았다.

이들은 마지막으로 다양한 비밀번호 조합을 계속해서 넣어보는 방법으로 관리자 계정 접속에 성공했다. 모든 시스템에 접속이 가능한 관리자 계정을 활용해 각종 개인정보를 엑셀 파일 형태로 내려 받았다.

관리자 계정으로 입학사정관 시스템 털어

개인정보보호위원회는 경북대와 숙명여대 등 6개 기관에 1억2080만원의 과태료를 부과했다. 사진은 개인정보보호위원회 명패. [사진 개인정보보호위원회]

개인정보위는 이 과정에서 비밀번호 작성 규칙을 따르지 않는 등 고유식별정보 처리법을 위반하고 개인정보 유출 통지 의무를 위반했다는 이유로 경북대에 과징금 5750만원과 과태료 720만원을 부과했다. 또 파일을 올릴 때 관리자 검증이 누락했다는 이유 등으로 경북대 총동창회에도 과태료 420만원을 별도로 부과했다.

숙명여대는 안전하지 않은 비밀번호를 설정하고, 불안정한 암호 알고리듬을 설정했다는 이유 등으로 과징금 3750만원과 과태료 300만원을 부과했다.

별도로 개인정보위는 경북대 학생들이 해킹하는 데 성공한 구미대·대구가톨릭대·대구한의대에도 각각 과태료를 부과했다. 과태료 규모는 구미대 420만원, 대구가톨릭대 360만원, 대구한의대 360만원이다.

한편 대구지검은 지난달 21일 이같은 범행을 저지른 경북대 학생 A 씨에게 징역 2년 6개월을 구형하고, 범행에 가담한 또 다른 학생 B 씨에게 징역 4개월에 집행유예 1년을 구형했다. 대구지법 형사4단독(김대현 판사)은 오는 19일 선고할 예정이다.

문희철 기자 reporter@joongang.co.kr