뉴시스 송혜리기자 등록 2024.09.29 12:30:00 | 수정 2024.09.29 13:14:15
전북대 개인정보 유출에 이어 지난 6일, 이화여자대학교 통합정보시스템이 해킹돼 졸업생들의 개인정보 가 무더기로 유출되는 사고가 발생했다. 이화여대는 이날 홈페이지를 통해 “통합정보시스템이 해킹 공격 을 받아 일부 졸업생 여러분의 개인정보가 외부에서 조회된 사실을 확인했다”며 “이
에 정보 유출 사실을 안내해 드리며 진심으로 사과드린다”고 밝혔다. 이번에 유출된 개인정보는 1982학년도에서 2002학년도에 입학한 졸업생 일부의 이름과 주민등록번호, 연락처, 이메일주소, 주소, 학적정보 등인 것으로 알려졌다
ㄱ
최근 대학에서 학생과 졸업생의 개인정보가 연이어 유출되는 사고가 발생하면서 개인정보보호의 중요성 이 부각되고 있다. 이에 따라 대학들의 보안 상태에 대한 우려와 함께 개인정보보호를 위한 보안 강화의 필요성이 높아지고 있다. 지난 7월 말 전북대학교에서 학생과 졸업생, 평생교육원 회원 등 32만명의 개인정보가 유출되는 사건이 발생했다. 이 사건 이후, 다른 대학들의 보안 상태에 대한 우려가 커졌으며 보안 정책을 강화해야 한다는 목소리가 높아지고 있다. 당시 전북대는 “세 차례에 걸쳐 대학통합정보시스템이 해킹 공격을 받아 32만2425명의 개인정보가 유출 되는 사고가 발생했다”고 밝혔다. 이 사고는 ‘파라미터(매개변수) 변조’라는 비교적 단순한 해킹 기법으로 발생한 것으로 알려졌다.
ㄱ
이는 웹 애플리케이션에서 사용되는 파라미터를 조작해 의도하지 않은 작동을 유발하는 공격 기법으로, 초보적인 공격으로 간주하지만 방어에는 까다로운 것으로 알려져 있다.
ㄱ
파라미터를 조작하여 미리 심어놓은 웹쉘을 실행하여 관리자 계정을 탈취 할 수 있기 때문이다.
이렇게 되는 경우 너무나 손 쉽게 개인정보 및 심지어 중요한 학문연구자료 등 그 피해를 심각하게 초래 시킬 수 있다.
ㄱ
지난 3월에는 경기대학교 재학생과 졸업생 등 1만여명의 개인정보가 온라인상에 노출된 사실이 알려지면 서 논란이 일었다. 또 5월에는 홍익대학교에서 학생 1만2000여명의 개인정보가 다른 학생들에게 노출되 는 사고가 발생했다. 지난해에도 경북대학교, 숙명여자대학교가 학교 온라인 시스템을 해킹 당해 보유하고 있던 주민번호 2만 여건의 주민등록번호가 유출됐음에도 즉각 신고하지 않아 과징금을 부과받기도 했다.
ㄱ
해킹 표적이 되는 대학…재학생 뿐만 아니라 사회 각계서 활동하는 졸업생도 피해
ㄱ
문제는 재학생 뿐만이 아니다. 사회 주요요직에서 활동하고 있는 졸업생에게 큰 피해를 입힐 수 있다는 점이다. 졸업생은 졸업한 것만으로 끝나는 것이 아니라 학교의 이미지이자 얼굴이 되기도 한 유명인사를 배출하기 때문이다. 이러한 해킹공작으로 인해 많은 사회인들이 랜섬웨어로 협박을 당
할 수도 있으며 임의로 개인정보를 도용하여 범죄의 사용될 심각한 우려가 생긴다.
죄는 그 틈을 보여주면 그 틈을 타고 전염되어진다. 전염되는 시간은 그리 오래 걸리지 않는다.
우리도 지난 코로나 사태를 통하여 깨달은 점이 무엇인가? 바로 사람이 아무리 철저하게 막는다고 해도 그것을 100% 막을 수 없었다는 점이다. 그렇기 때문에 이를 보완할 보안솔루션이 절대적으로 필요한 시기인것이다.
ㄱ
대학 보안이 그 수준이 낮기 때문에 포식자의 대상이 되기에 아주 좋다. 또한 전문가들은 대학이 해킹 공격의 주요 표적이 되는 이유로 방대한 정보를 보유하고 있다는 점을 지적한다. 대학 시스템에는 재학생뿐 아니라 사회 각계에서 활동하는 졸업생, 교수, 임직원의 개인정보가 포함돼 있 어 해커들은 이를 노린다. 이름, 주민등록번호, 이메일, 주소 등 유출된 정보를 재판매하거나 신원 도용, 스 미싱, 금융 범죄 등에 악용할 수 있다. 학교의 재정 정보나 연구 데이터 탈취 목적도 있다. 대학은 연구 자금과 학비 결제 정보 등 재정적인 데이 터를 보유하고 있어 금전적 이득을 노린 해킹도 빈번하게 발생할 수 있다. 또 대학에서 수행되는 최첨단 연구 데이터는 경제적, 기술적 가치를 지니고 있어 이를 빼돌려 다른 기업이나 국가에 판매하려는 시도도 존재한다. 이밖에 대학 시스템에 랜섬웨어를 설치해 시스템을 마비시키고, 이를 복구하기 위한 대가로 금전을 요구 하거나, 대학 시스템을 해킹해 사회적 혼란을 일으키려는 목적도 있을 수 있다. 보안 업계 관계자는 “공공기관과 비교해 상대적으로 대학이 보안 시스템이 허술한데다 연구 과제나 결과 물 같은 대외비 자료가 많으니 노리는 거 같다”면서 “대부분 개인정보 관리 소홀로 인해 개인정보 유출이 되는 경우가 많은 걸보아 다른 업종에 비해 보안 정책이 마련이 안되거나 투자가 미흡하다고 볼 수 밖에 없다”고 설명했다.
ㄱ
제로트러스트 , 차세대 탐지솔루션 대안책 강구 절실
ㄱ
최근 서울대의 경우 개인정보를 보완하고자 로그인 2차인증 제도를 도입하였습니다. 또한 이미 침투해 있을 지 모르는 악성코드를 탐지하여 잡아내는 웹쉘탐지솔루션을 도입하여 내부자의 공격에 대한 방어체계를 구축하고 있다. 최근 대학해킹의 주요원인은 내부자공격 또는 내부자실수로 인해 일어났다. 이에 해킹 공격으로부터 안전하게 대학 시스템을 보호하기 위해서는 다층적 보안 시스템 구축이 필수적이란 게 전문가들의 조언이다. 먼저, 방화벽, 침입 탐지 시스템, 침입 방지 시스템, 웹방화벽(WAF), 웹쉘탐지솔루션 보안 솔루션을 통합적으로 운영해 외부로부 터의 침입을 차단 하고 탐지하는 체계를 구축해야만 한다.
R
외부 전문가를 통한 보안 감사와 취약점 스캐닝, 침투 테스트를 정기적으로 실시함으로써 시스템의 취약점을 사전에 파악하고 개선할 수 있다. 백업 및 복구 시스템도 강화해야 한다. 중요한 데이터를 정기적으로 백업하고, 오프라인 백업을 유지하며, 신속한 복구 계획을 수립하고 정기적으로 테스트해야 한다. 이를 통해 데이터 손실이나 랜섬웨어 공격에 대비할 수 있다. 아울러 대학의 모든 사용자, 즉 학생과 교직원에 대한 보안 교육도 중요한 부분이다. 피싱이나 소셜 엔지 니어링 공격에 대한 인식을 높이고, 정기적인 교육을 통해 보안 경각심을 높이는 것이 필요하다.