"선문대, 랜섬웨어 공격 당해… ‘노바’ 조직, 개인정보 유출 협박"

노바 조직, 7GB 데이터 탈취 주장
교육 NGO 문서 등 문서 샘플로 공개
오는 8일 데이터 전면 유출 예고
선문대 측 "금전 요구 없었다" 입장

[이데일리 최연두 기자] 충남 아산에 위치한 선문대학교가 랜섬웨어의 공격을 받아 가상화 컴퓨터 등 일부 시스템이 감염된 것으로 나타났다. 선문대 측은 이를 인지한 지난달 30일 오후 한국인터넷진흥원(KISA)에 침해사고를 신고하고 감염된 컴퓨터의 전원을 즉시 차단하는 조치를 취했다고 2일 밝혔다.

충남 아산에 위치한 선문대학교 캠퍼스 전경(사진=선문대)

랜섬웨어 조직 ‘노바’(Nova)는 이보다 앞선 지난달 28일 자체 운영하는 다크웹 블로그에 선문대를 겨냥한 공격에 성공했다고 주장하는 게시글을 올렸다.

이 조직은 소속 학생들의 개인정보와 포털 소스코드 등을 포함해 총 7기가바이트(GB)에 달하는 데이터를 탈취했다면서 선문대가 금전 협상에 응하지 않으면 오는 8일께 해당 데이터를 모두 공개하겠다고 협박하고 있다.

선문대는 지난달 30일 오후 2시 내부 가상화 PC(개인용 컴퓨터) 일부가 랜섬웨어에 감염된 사실을 인지했으며, 한 시간 뒤인 오후 3시께 KISA에 이를 신고했다고 밝혔다.

이어 선문대 측은 임직원의 개인정보 유출은 발생하지 않았다고 선을 그었다.

선문대 관계자는 이날 이데일리와의 통화에서 “(랜섬웨어에 감염된 가상화 PC가) 개인정보를 다루지 않는 기기이기 때문에 현재로선 개인정보 유출 가능성은 없다”고 강조했다. 감염된 PC의 운영체제(OS)를 재설치하고 비밀번호도 강화한 상태라고 설명했다.

선문대는 노바 조직으로부터 금전 협박도 받지 않았다고 밝혔다. 선문대 관계자는 “해커로부터 금전 요구를 받은 적도 없고 관련해 대응을 한 일도 없다”고 말했다.

랜섬웨어 조직 노바가 사전 유출한 문서. 한 비영리 아동교육단체 사업과 관련해 물품 수령 등을 확인하는 내용이 담겼다.(사진=화면 캡처)

한편, 노바 조직이 선문대에서 탈취했다고 주장하며 공개한 샘플 데이터를 기자가 확인한 결과, 한 비영리 아동교육단체 사업과 관련된 문서가 발견됐다.

중남미 국가인 니카라과 현지 학교에 물품 수령을 확인하는 공식 문서인데, 여기에는 해당 사업 담당자의 실명과 지원 학교명, 사업명 코드 등 정보가 담겼다.

이외에도 이 교육단체 내부 문서로 추정되는 창고 출고 전표, 2019년 재고 현황 보고서 등도 노바가 사전 유출한 데이터에 포함됐다.

한 보안 전문가는 “해커가 공개한 샘플 데이터에 제3기관 문서가 포함된 점은 주목할 만하다”면서 “교육기관은 다양한 협력 문서를 다루는 만큼 중요 자료는 별도 시스템에 분리 저장하고 접근 권한을 철저히 관리할 필요가 있다”고 말했다.

랜섬웨어 조직 노바가 지난달 28일 자체 다크웹 블로그에 선문대 고격에 성공했다고 주장하는 글을 게시했다.(사진=화면 캡처)

최연두 (yondu@edaily.co.kr)