국내 논문투고 시스템 ‘잼스’ 해킹…연구자 12만명 개인정보 유출

한국연구재단, 경찰에 수사 요청

한국연구재단이 운영하는 온라인 논문투고·심사시스템 잼스(JAMS) 초기 화면.

한국연구재단이 운영하는 온라인 논문투고·심사시스템 잼스(JAMS)가 해킹 공격을 받아 12만명의 회원 개인 정보가 유출된 것으로 드러났다. 이는 등록 회원 79만명의 15%에 해당한다.

잼스는 국내 학술단체의 논문 투고에서부터 심사, 학술지 출판에 이르는 전 과정을 온라인상에서 관리하기 위해 한국연구재단이 개발해 무상으로 보급하는 시스템이다. 현재 잼스에 등록된 국내 학회는 1553개로 한국학술지인용색인(KCI)에 등록된 학회 1만879개의 14%에 해당한다. 잼스에 등록된 논문은 77만여건에 이른다.

재단에 따르면 해커의 공격이 시작된 시점은 지난 6일 새벽이다. 중국에 뿌리를 둔 것으로 추정되는 미국 우회 IP로부터 회원들의 비밀번호를 초기화하는 URL 파라미터 변조 공격 시도가 시작돼 회원들에게 임시 비밀번호 발급 안내 메일이 발송됐다. URL 파라미터 변조는 기본적인 해킹 공격의 하나로 웹 페이지 주소(URL)에 포함된 매개변수(파라미터)의 값을 임의로 변경하여 웹을 임의로 조작하거나 서버의 민감한 정보에 접근하는 공격 기법을 말한다.

재단은 “애초 내부 보안점검에서는 개인정보 유출이 없었다고 판단해 이메일을 통한 해킹 시도를 차단하는 것으로 조처를 마쳤으나, 지난 9일 정보보안 전문기관의 정밀 점검 결과 현재까지 12만건의 개인정보가 유출된 것으로 확인됐다”고 밝혔다. 유출된 개인정보는 성명, 생년월일, 연락처, 이메일 주소, 계정 ID 등이다. 또 일부 사용자가 개인정보 비고란에 추가한 정보도 유출된 것으로 파악됐다.

재단은 “현재 개인정보보호위원회 및 관련 기관과 함께 개인정보 침해 범위를 정밀 분석 중이며, 추가 피해를 막기 위한 보안 시스템 점검과 강화 조치를 진행하고 있다”고 밝혔다.

한국연구재단은 또 “개인정보 침해사고 대응 태스크포스(TF)를 구성해 연구자 응대 및 재단 전체 시스템에 대한 정밀점검을 실시하겠다”고 덧붙였다. 재단은 13일 중으로 이번 해킹 피해에 대한 수사를 경찰에 요청하기로 했다.

곽노필 선임기자 nopil@hani.co.kr