32만명 개인정보 유출…전북대 "현재 금전적 피해 신고 없어"

비밀번호 찾기·파라미터 변조 방식으로 해킹…경찰 수사 진행

김순태 전북대 정보혁신처장(오른쪽) (전주=연합뉴스) 나보배 기자 = 2일 오후 전북대학교 본부 2층 대회의실에서 김순태 정보혁신처장이 대학통합정보시스템 해킹 사고에 관해 설명하고 있다. 2024.8.2

(전주=연합뉴스) 나보배 기자 = 대학통합정보시스템 해킹으로 32만명의 개인정보 유출 사고가 난 전북대학교는 2일 현재까지 경제적인 피해에 대한 신고는 접수되지 않았다고 밝혔다.

전북대 김순태 정보혁신처장은 "사고 대응반에 이날 오후 1시 20분까지 전화접수 744건, 이메일 330건, 국민신문고 3건이 접수됐다"며 "이 중 금전적인 피해 사례는 없었다"고 말했다.

신고는 대부분 전화금융사기(보이스피싱)를 유도하기 위한 문자를 받았다거나 이번 개인정보 유출 사고에 대한 민원성 신고였다고 대학은 설명했다.

대학은 우선 피해 현황을 파악한 뒤 보상 등 적절한 조치 방안을 결정할 예정이다.

전북대는 지난달 교육부의 정보보호수준 진단에서 '우수' 등급을 받았으나 이번 해킹을 막지 못했다.

대학은 해커가 '비밀번호 찾기'와 '파라미터 변조' 취약점을 통해 해킹한 것으로 보고 있다.

웹페이지의 주소를 바꾸면서 정보를 빼가는 파라미터 변조는 초보적인 공격으로 간주하지만, 방어에는 까다로운 것으로 알려져 있다.

김 처장은 "현재 운영 중인 대학통합정보시스템은 10년 전께 구축한 시스템으로, 차세대 시스템을 기획하는 단계에서 해킹됐다"며 "예산 등을 확보해 보안시스템을 최신화하도록 하겠다"고 말했다.

교육부 사이버안전센터와 한국인터넷진흥원 등은 이날 전북대를 찾아 대학통합정보시스템의 사이버 기록 등을 살피며 해킹 경위와 대학의 정보보안 조치 등을 살펴보고 있다.

전북경찰청 사이버수사대 역시 해커의 해킹 경로나 목적을 파악하는 등 수사를 진행 중이다.

개인정보 유출 사실 안내 및 사과의 글 [전북대학교 홈페이지 캡처]

앞서 지난달 28일 오전 3시와 오후 10시, 오후 11시 20분 등 세 차례에 걸쳐 대학 통합정보시스템인 '오아시스'가 해킹돼 개인정보가 모조리 빠져나갔다.

유출된 개인정보는 학생과 졸업생의 경우 이름과 주민등록번호, 전화번호, 학사 정보를 비롯한 74개 항목이며 평생교육원 회원의 경우 29개 항목이다.

대학은 마지막 해킹 이후 13시간이 흐른 지난달 29일 오후 1시께 이를 인지하고 홍콩과 일본에서 접속한 IP 주소를 확인해 경로를 차단했다.

첫 해킹 공격을 알아차리지 못한 데 대해 대학은 "분산 서비스 거부 공격(디도스 공격) 등 비정상적인 공격이 몰렸다면 홈페이지 보안시스템의 알림이 작동했을 텐데, 해커가 단일 IP를 통해 점진적으로 접근하다 보니 보안시스템이 인지하지 못했다"고 설명했다.

warm@yna.co.kr

▶제보는 카톡 okjebo