[서울=뉴시스]

<이미지를 클릭하시면 크게 보실 수 있습니다>

[서울=뉴시스]송혜리 기자 = #지난 6일, 이화여자대학교 통합정보시스템이 해킹돼 졸업생들의 개인정보가 무더기로 유출되는 사고가 발생했다. 이화여대는 이날 홈페이지를 통해 "통합정보시스템이 해킹 공격을 받아 일부 졸업생 여러분의 개인정보가 외부에서 조회된 사실을 확인했다"며 "이에 정보 유출 사실을 안내해 드리며 진심으로 사과드린다"고 밝혔다.

이번에 유출된 개인정보는 1982학년도에서 2002학년도에 입학한 졸업생 일부의 이름과 주민등록번호, 연락처, 이메일주소, 주소, 학적정보 등인 것으로 알려졌다.

최근 대학에서 학생과 졸업생의 개인정보가 연이어 유출되는 사고가 발생하면서 개인정보보호의 중요성이 부각되고 있다. 이에 따라 대학들의 보안 상태에 대한 우려와 함께 개인정보보호를 위한 보안 강화의 필요성이 높아지고 있다.

지난 7월 말 전북대학교에서 학생과 졸업생, 평생교육원 회원 등 32만명의 개인정보가 유출되는 사건이 발생했다. 이 사건 이후, 다른 대학들의 보안 상태에 대한 우려가 커졌으며 보안 정책을 강화해야 한다는 목소리가 높아지고 있다.

당시 전북대는 "세 차례에 걸쳐 대학통합정보시스템이 해킹 공격을 받아 32만2425명의 개인정보가 유출되는 사고가 발생했다"고 밝혔다.

이 사고는 '파라미터(매개변수) 변조'라는 비교적 단순한 해킹 기법으로 발생한 것으로 알려졌다. 이는 웹 애플리케이션에서 사용되는 파라미터를 조작해 의도하지 않은 작동을 유발하는 공격 기법으로, 초보적인 공격으로 간주하지만 방어에는 까다로운 것으로 알려져 있다.

지난 3월에는 경기대학교 재학생과 졸업생 등 1만여명의 개인정보가 온라인상에 노출된 사실이 알려지면서 논란이 일었다. 또 5월에는 홍익대학교에서 학생 1만2000여명의 개인정보가 다른 학생들에게 노출되는 사고가 발생했다.

지난해에도 경북대학교, 숙명여자대학교가 학교 온라인 시스템을 해킹 당해 보유하고 있던 주민번호 2만여건의 주민등록번호가 유출됐음에도 즉각 신고하지 않아 과징금을 부과받기도 했다.

해킹 표적이 되는 대학…재학생 뿐만 아니라 사회 각계서 활동하는 졸업생도 피해

전문가들은 대학이 해킹 공격의 주요 표적이 되는 이유로 방대한 정보를 보유하고 있다는 점을 지적한다.

대학 시스템에는 재학생뿐 아니라 사회 각계에서 활동하는 졸업생, 교수, 임직원의 개인정보가 포함돼 있어 해커들은 이를 노린다. 이름, 주민등록번호, 이메일, 주소 등 유출된 정보를 재판매하거나 신원 도용, 스미싱, 금융 범죄 등에 악용할 수 있다.

학교의 재정 정보나 연구 데이터 탈취 목적도 있다. 대학은 연구 자금과 학비 결제 정보 등 재정적인 데이터를 보유하고 있어 금전적 이득을 노린 해킹도 빈번하게 발생할 수 있다. 또 대학에서 수행되는 최첨단 연구 데이터는 경제적, 기술적 가치를 지니고 있어 이를 빼돌려 다른 기업이나 국가에 판매하려는 시도도 존재한다.

이밖에 대학 시스템에 랜섬웨어를 설치해 시스템을 마비시키고, 이를 복구하기 위한 대가로 금전을 요구하거나, 대학 시스템을 해킹해 사회적 혼란을 일으키려는 목적도 있을 수 있다.

보안 업계 관계자는 "공공기관과 비교해 상대적으로 대학이 보안 시스템이 허술한데다 연구 과제나 결과물 같은 대외비 자료가 많으니 노리는 거 같다"면서 "대부분 개인정보 관리 소홀로 인해 개인정보 유출이 되는 경우가 많은 걸 보아 다른 업종에 비해 보안 정책이 마련이 안되거나 투자가 미흡하다고 볼 수 밖에 없다"고 설명했다.

다층적 보안 시스템 필요…대학의 적극적 대응 시급

해킹 공격으로부터 안전하게 대학 시스템을 보호하기 위해서는 다층적 보안 시스템 구축이 필수적이란 게 전문가들의 조언이다.

먼저, 방화벽, 침입 탐지 시스템, 침입 방지 시스템 등 다양한 보안 솔루션을 통합적으로 운영해 외부로부터의 침입을 차단하고, 네트워크 세그먼테이션(분할)을 통해 중요한 데이터에 대한 접근을 제한해야 한다. 또 다중인증(MFA) 시스템을 도입해 단순 비밀번호 해킹을 막고, 정기적인 비밀번호 변경 정책을 통해 인증 보안을 강화할 필요가 있다.

데이터 보안을 강화하기 위해서는 저장 데이터와 전송 데이터 모두에 대해 강력한 암호화를 적용해야 한다. 이와 더불어 정기적인 보안 감사와 취약점 평가도 필수적이다. 외부 전문가를 통한 보안 감사와 취약점 스캐닝, 침투 테스트를 정기적으로 실시함으로써 시스템의 취약점을 사전에 파악하고 개선할 수 있다.

백업 및 복구 시스템도 강화해야 한다. 중요한 데이터를 정기적으로 백업하고, 오프라인 백업을 유지하며, 신속한 복구 계획을 수립하고 정기적으로 테스트해야 한다. 이를 통해 데이터 손실이나 랜섬웨어 공격에 대비할 수 있다.

아울러 대학의 모든 사용자, 즉 학생과 교직원에 대한 보안 교육도 중요한 부분이다. 피싱이나 소셜 엔지니어링 공격에 대한 인식을 높이고, 정기적인 교육을 통해 보안 경각심을 높이는 것이 필요하다.

☞공감언론 뉴시스 chewoo@newsis.com

▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개