전북대 '32만 명 개인정보' 털려…피해 최소화하려면?

[EBS 뉴스]

전북대학교에서 해커의 공격으로 학생 등 32만 명의 개인정보가 유출되는 일이 발생했습니다.

주민등록번호나 사진 같은 민감 정보도 포함돼 있어서 2차 피해가 우려되는데요.

더 이상의 피해를 막으려면 어떤 대책을 준비해야 될지 피해자들이 대응할 방법은 없을지 먼저 영상부터 보고 오겠습니다.

[VCR]

전북대 통합정보시스템 '해킹'

개인정보 32만여 건 '유출'

이름·학번부터 사진·주민번호까지

최대 74개 항목 빠져나가

대학 보안망서 못 걸러

이튿날 돼서야 해킹 사실 인지

개인정보 악용 등 2차 피해 우려

피해 최소화 방안은?

-------

서현아 앵커 

전북대 개인정보 유출 사태 서울여자대학교 정보보호학부 김명주 교수와 조금 더 자세한 이야기 나눠보겠습니다.

교수님 어서 오세요. 

전북대 학사 업무 관리하는 통합정보 시스템이 해킹된 거고 32만 명의 개인정보가 빠져나간 겁니다. 

이 정도 규모는 얼마나 심각하다고 볼 수 있을까요.

김명주 교수 / 서울여자대학교 정보보호학부 

양적으로 보면 그 시스템 안에 들어가 있는 재학생과 졸업생 정보가 거의 다 유출됐다 이렇게 보시면 될 것 같고요.

그다음에 유출된 항목들을 제가 유심히 봤더니 흔히 말하는 기본적인 개인정보도 있지만 집 주소도 있고 부모 이름도 있고 모든 일반적인 것들이 다 엮여 있기 때문에 이게 2차 범죄로 많이 활용되지 않을까. 

특히 피싱이라든지 보이스피싱이라든지 그리고 대개 주민등록번호나 이메일 그다음에 전화번호가 나왔기 때문에 대개 대포폰, 대포통장 명의도용 사건이죠.

그런 데도 많이 유출된 정보들이 활용될 수 있을 것 같습니다.

서현아 앵커 

너무나 많은 정보들이 포함돼 있어서 정말 2차 피해가 우려가 되고 있는데요.

그런데 문제는 이 대학본부가 해킹된 사실을 몰랐다는 겁니다.

대학본부의 변은, 세 차례 시도 끝에 개인 정보를 빼내 간 건데 이게 갑작스러운 디도스 공격이 아니라 점진적인 방식이었기 때문에 몰랐다 이렇게 말을 하고 있죠?

김명주 교수 / 서울여자대학교 정보보호학부 

네, 디도스 공격 같은 경우는 시스템을 쓰지 못하도록 하는 것이기 때문에 짧은 순간 안에 엄청난 공격들이 이루어지니까 그거는 이제 감지하기가 비교적 쉽습니다.

그런데 이제 지금 같은 경우는 시간에 따라서 일종의 조금씩 조금씩 계정을 탈취하는 거라서 이 부분들은 어떤 특별한 시스템을 더 추가하지 않으면 잘 발견하기 힘들지만 그러나 이제 보안에 있었을 때는 굉장히 기본적인 거예요.

그래서 일반 사용자로 들어와서 취약점을 이용해서 관리자 권한을 취득하는 건데 일반적으로 보안 수준을 진단한다거나 미리 예비할 때 이런 부분들은 기본으로 들어가는 항목들이라고 보시면 됩니다.

서현아 앵커 

어떤 보안을 평가하는 시스템에도 문제가 있어 보이는데 지금 전북대는 대책으로 2단계 인증을 이제부터 의무화하겠다고 밝혔습니다. 

어떻게 보십니까? 충분할까요?

김명주 교수 / 서울여자대학교 정보보호학부 

요즘에 이제 여러분들이 휴대폰 같은 걸 쓰게 되면 이상한 데서 접근하면 다시 문자가 와서 본인인지 확인하잖아요.

그게 이제 보통 이제 이중 보안인데 이게 요즘의 대학 시스템이 그렇게 돼 있지 않아요. 

그냥 본인이 들어가는 걸로 예를 들어서 한국에서 쓰다가 일본에서 들어와도 그냥 들어갈 수 있고 또, 원래는 일본에서 들어오거나 이상한 행동으로 들어오면 다시 확인을 해야 하거든요.

그런 것들이 거의 대부분 돼 있지 않아서 약간 사후약방문 같은 형태이기는 하지만 지금이라도 그렇게 해서 본인이 다른 국가, 이상한 형태로 들어오는 경우에 확인하는 과정들은 필요할 거다는 생각을 합니다.

서현아 앵커 

지금부터라도 도입하는 건 의미가 있다고 지적을 해 주셨습니다.

그런데 이미 정보가 유출된 학생들은 지금 굉장히 불안할 것 같아요.

개인정보가 악용될 소지도 큰데 추가 피해를 막으려면 어떻게 해야 할까요?

김명주 교수 / 서울여자대학교 정보보호학부 

아마 지금 정도의 개인정보는 유통이 될 거예요. 

보통 다크웹 같은 데 유통이 되면 대략 한 몇 달 정도 있으면서부터 피해가 드러나기 시작합니다.

그래서 개인이 볼 때는 이제 본인한테 오는 문자나 여러 가지 이제 문자, 보이스피싱 이런 데 더 취약하게 노출될 수 있기 때문에 다른 사람들도 많이 조심하지만 본인이 더 많이 조심을 해야 되고요.

그리고 또 하나는 이제 보다 근본적인 건데 최소한 전화번호는 바꿀 수 있으면 바꾸는 게 제일 좋습니다.

굉장히 힘들지만 그게 보통 추천하는 아주 기본적인 방법 중에 하나입니다.

서현아 앵커 

영향은 한 석 달 정도 뒤에도 나타날 수 있습니까?

김명주 교수 / 서울여자대학교 정보보호학부 

더 뒤에도 나타날 수 있고 그래서 보통 피해자들이 그 기간 전에 언제 피해를 당할지 모르기 때문에 정신적으로 스트레스를 대단히 많이 받아요.

서현아 앵커 

대학 당국에 책임을 묻겠다라면서 보상을 요구하는 목소리도 일부 나오고 있습니다.

지금 아직 뚜렷한 피해가 확인되지는 않았지만 얼마든지 우려는 있는 상황인데 어떻습니까? 

보상 받을 수 있습니까?

김명주 교수 / 서울여자대학교 정보보호학부 

뭐 사실 보상이라는 게 피해가 발생을 해야 보상을 받을 수 있는데 지금 같은 경우는 아까처럼 기간도 좀 필요하기는 하지만 이전의 사례를 보면 되게 정신적 피해 보상이죠.

그래서 개개인별로 소송을 걸어서 이제 본인이 몇만 원 몇십만 원 받기 위해서 소송을 걸기는 그러니까 대개 이제 변호사님들이 이렇게 단체로 모아서 소송을 하게 됩니다.

그래서 그런 형태로 해서 소송은 가능한데 이게 지금 모교잖아요.

모교를 상대로 해서 소송을 건다는 게 쉽지는 않을 것 같고 또 외국 같은 경우는 이제 집단 소송이라는 게 있는데 우리나라는 집단 소송이 없습니다.

그래서 묻어서 소송할 수 없기 때문에 본인이 이제 발품을 팔고 변호사한테 연락을 하고 하는 노력이 들기 때문에 노력한 것에 비해서 받을 수 있는 보상은 그렇게 또 많지 않아서 효율성도 많이 떨어집니다.

서현아 앵커 

이런저런 한계가 있겠습니다. 

그런데 작년 12월에도 비슷한 일이 있었어요. 

5개 대학에서 연쇄적인 해킹 공격이 있었고 무려 81만 명의 개인정보가 빠져나갔습니다. 

잊을 만하면 한 번씩 이런 일이 발생을 하는데 그렇다면 대학과 교육 당국에서도 어떤 노력이 필요할 것 같은데요?

김명주 교수 / 서울여자대학교 정보보호학부 

그렇죠. 사실 이제 근본적으로 이 문제를 뒤지면 원래 지금 전북대학교도 매년 교육부로부터 정보보호 수준 진단을 받아요.

받아서 계속 우수 등급을 받았거든요. 

그런데 한 4~5년 전에 어떤 일이 있었냐면 원래 1만 명 이상의 대형 대학들은 원래 과기정통부에서 주관하는 개인정보 관리 체제 인증이라는 게 있습니다.

ISMS라고 하는데 그거를 꼭 받아야 돼요. 

그런데 이게 비용도 많이 들고 노력이 많이 들기 때문에 당시 이제 대학들로서는 등록금도 동결되고 하니까 교육부 인증이랑 이게 겹친다, 하나만 받자 그래서 하나만 받은 거예요.

그런데 이제 하나만 받다 보니까 원래 ISMSP보다는 훨씬 약식이고 또 이게 교육부로부터 대학이 그런 진단을 받다 보니까 약간 형식적일 수 있어서 지금 이제 그 수준 진단을 현실화하자 하는 이야기도 있고 아예 처음부터 대체하는 거를 다시 논의를 해야 되는 거 아니냐 하는 부분이 있어서 지금 작년 말에 5개 대학 건이 나왔을 때도 똑같은 이야기가 불거졌거든요.

그래서 이게 근본적으로 해결이 안 되면 앞으로도 또 유사한 것이 발생할 수 있다라고 했는데 아니나 다를까 발생을 하고 말았습니다.

서현아 앵커 

정말 개인정보의 중요성은 점점 높아지고 있는데 또 잊을만하면 이렇게 유출되는 사건이 발생합니다.

더 이상 피해가 확산하지 않도록 확실한 보안 대책이 마련되어야겠습니다.

교수님 오늘 말씀 잘 들었습니다.