해커에 뚫린 국립대…32만 명 개인정보 ‘탈탈’ 털렸다
■ 전북대 통합정보시스템 해킹…32만 명 개인정보 탈취
지난 1일, 지방거점국립대인 전북대가 발칵 뒤집혔습니다. 대학 누리집에 '통합정보시스템을 해킹당해 개인정보가 대량 유출됐다'는 글이 올라왔기 때문입니다.
전북대 통합정보시스템 '오아시스'는 학생 등이 성적 조회나 휴학 신청을 비롯한 학사 관리에 사용하는 인터넷 사이트입니다.
피해자는 오아시스에 가입한 재학생과 졸업생, 평생교육원 회원 가운데 32만 2,425명입니다. 재학생과 졸업생이 26만여 명으로 대부분을 차지합니다.
유출된 항목도 많습니다. 재학생과 졸업생의 경우 사람마다 최대 74개 항목을, 평생교육원 회원의 경우 최대 29개 항목을 탈취당했습니다. 이름과 주민등록번호, 휴대전화번호, 주소 등 민감한 정보가 다수입니다.
이 때문에 피해자들이 가장 걱정하는 것은 '전화금융사기' 같은 2차 피해입니다.
유출 항목 가운데는 보호자나 지도교수 이름도 있습니다. 부모나 지도교수 이름을 대면서 돈을 요구하는 상황이 있을 수 있습니다. 또 이름을 도용해 휴대전화를 개통하거나 특정 사이트에 가입하는 경우도 우려됩니다.
전북대에서 만난 한 재학생은 취재진을 만나고서야 피해 사실을 알았습니다. 유출된 개인 정보를 확인하고는 황당하다는 듯 탄식만 내뱉었습니다. "어떻게 하지?"라는 혼잣말도 했습니다. 다른 학생은 "다들 놀랐고 전화금융사기가 걱정된다"고 말했습니다.
대학 측은 "2차 피해를 줄이기 위해 누리집에서 개인정보 유출 여부를 자세히 조회할 수 있도록 하고, 민원 상담 창구(☎063-219-5559)를 운영하고 있다"고 밝혔습니다.
유출 사실 공개 하루 만인 어제(2일) 낮 1시 20분까지 상담 창구와 이메일, 국민신문고에는 1,000건 넘는 민원이 접수됐습니다.
대학 측은 "이 가운데 금전 피해는 없지만, 카카오톡 등을 통한 피싱 시도 사례가 있어 이번 유출과의 연관성을 살피고 있으며, 피해자들에게 재차 주의를 요청하겠다"고 했습니다.
■ 곳곳에 허점…지난달 교육부 진단 결과는 '우수'
이번 개인정보 유출 사태를 통해 허점도 드러났습니다.
해커는 통합정보시스템 보안 취약점을 노렸습니다. 모방 가능성이 있어 자세히 설명하지는 않겠습니다만 대학 측도 "크게 2가지 정도 문제가 있었다"고 인정했습니다.
전북대는 지난달 교육부 '대학정보보호수준 진단'에서 '우수 등급'을 받았습니다.
"당시 진단에서 이번에 드러난 취약점에 대한 지적이 있었느냐"는 질문에 대학 측은 "없었다"고 답했습니다. 진단이 제대로 이뤄졌는지 되짚어봐야 하는 이유입니다.
■ 피해 발생 13시간 지나서야 해킹 사실 알아
대학 측의 뒤늦은 사태 파악도 아쉬운 대목입니다.
전북대의 설명에 따르면 해커는 일요일이던 지난달 28일 새벽 3시 첫 공격을 했습니다. 첫 시도는 실패했습니다. 하지만 같은 날 밤 10시 2차 공격을 해 일부 학생들의 아이디를 확보했습니다. 이어 밤 11시 20분 3차 공격을 시도해 본격적으로 개인정보를 빼가기 시작했습니다. 탈취는 다음 날인 지난달 29일 새벽 5시까지 이어졌습니다.
그러나 대학 측이 해킹 사실을 안 것은 지난달 29일 오후 1시쯤이었습니다. 피해 발생 13시간이 지나서야 알아챈 겁니다.
대학 측은 "통합정보시스템 사용량이 일정량을 넘으면 자동으로 파악할 수 있는 체계를 갖춰놨지만, 해커가 지능적으로 조금씩 해킹해 곧바로 알 수 없었다"며 "직원들이 출근해 수동으로 점검하다가 인지했다"고 해명했습니다.
해킹 사실을 알고도 사흘이 지나서야 공개한 이유에 대해서는 "교육부 지침에 인지하고 72시간 안에 공개하게 돼 있어 그에 따른 것"이라고 설명했습니다. 또 "현재는 취약점을 모두 보완했고 강화된 인증 체계를 도입할 예정"이라고 했습니다.
■ 여러 차례 '사과'…손해 배상 문제 불거질 듯
전북대는 개인정보 유출 사실을 알리며 여러 차례 사과했습니다. 언론 브리핑에서도 '사죄', '죄송'이라는 단어를 되풀이했습니다.
하지만 사과로 끝낼 수 있을지는 장담할 수 없습니다. 개인정보 유출에 대한 손해배상 문제가 불거질 것으로 보이기 때문입니다.
일부 피해자들은 "대학 측이 배상이나 대응안은 제시하지 않고 사과문만 올렸다"며 반발하고 있습니다. 대학 측은 이에 대해 "현황 파악을 먼저 해야 적절한 조치가 될 것"이라고 답했습니다. 집단소송 제기 여부에 대해서도 "아직 없는 것으로 안다"고 했습니다.
이와 함께 수사 결과에도 관심이 쏠립니다. 대학 측은 "홍콩과 일본을 경유한 해커 IP를 경찰, 국정원과 확인하고 있으며 현재까지 1명의 소행으로 보이지만 그 외의 사항은 조사 중"이라고 밝혔습니다.
https://news.kbs.co.kr/news/pc/view/view.do?ncd=8026481 (2024.08.01.)
■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!
서윤덕 기자 (duck@kbs.co.kr)
Copyright © KBS. All rights reserved. 무단 전재, 재배포 및 이용(AI 학습 포함) 금지
- 김우진·임시현, 양궁 혼성전 금메달로 2관왕
- 유도 김민종, 최중량급 최초 은메달…김하윤은 동메달 쾌거
- 김정은, 수해 이후 첫 대남 반응…“적들이 인명피해 날조”
- [단독] “지원금 30% 보장”?…투자 리딩방 사기 일당 적발
- ‘한 수 배운’ 신유빈, 오늘 한일전으로 동메달 도전
- [뒷北뉴스] 기차가 멈춘 곳, 김정은이 목격한 참상…지도마저 바뀌었다
- 지각대장 푸틴, ‘풀려난 암살범’은 기다렸다…크라시코프는 누구? [특파원 리포트]
- 해리스 미 대선 후보 공식 선출…다음 주 부통령 후보 지명
- [영상][인터뷰] ‘글로벌 스타’ 오상욱, 어펜저스 형들 앞에서 ‘막내미’ 뿜뿜
- ‘폭풍 전야’ 중동…항공편 끊기고 철수 권고도