▲ 전북대학교 본부 2층 대회의실에서 대학통합정보시스템 해킹 사고에 관해 설명하고 있는 김순태 정보혁신처장
대학통합정보시스템 해킹으로 32만 명의 개인정보 유출 사고가 난 전북대학교는 현재까지 경제적인 피해에 대한 신고는 접수되지 않았다고 밝혔습니다.
전북대 김순태 정보혁신처장은 사고 대응반에 오늘(2일) 오후 1시 20분까지 전화접수 744건, 이메일 330건, 국민신문고 3건이 접수됐으며, 이 가운데 금전적인 피해 사례는 없다고 말했습니다.
신고는 대부분 전화금융사기를 유도하기 위한 문자를 받았다거나 이번 개인정보 유출 사고에 대한 민원성 신고였다고 대학은 설명했습니다.
대학은 우선 피해 현황을 파악한 뒤 보상 등 적절한 조치 방안을 결정할 예정입니다.
전북대는 지난달 교육부의 정보보호수준 진단에서 '우수' 등급을 받았으나 이번 해킹을 막지 못했습니다.
대학은 해커가 '비밀번호 찾기'와 '파라미터 변조' 취약점을 통해 해킹한 것으로 보고 있습니다.
웹페이지의 주소를 바꾸면서 정보를 빼 가는 파라미터 변조는 초보적인 공격으로 간주하지만, 방어에는 까다로운 것으로 알려졌습니다.
대학 측은 현재 운영 중인 대학통합정보시스템은 10년 전쯤 구축한 시스템으로, 차세대 시스템을 기획하는 단계에서 해킹됐다며 예산 등을 확보해 보안시스템을 강화하겠다고 전했습니다.
교육부 사이버안전센터와 한국인터넷진흥원 등은 전북대를 찾아 대학통합정보시스템의 사이버 기록 등을 살피며 해킹 경위와 대학의 정보보안 조치 등을 살펴보고 있습니다.
전북경찰청 사이버수사대 역시 해커의 해킹 경로나 목적을 파악하는 등 수사를 진행 중입니다.
앞서 지난달 28일 오전 3시와 오후 10시, 오후 11시 20분 등 3차례에 걸쳐 대학 통합정보시스템인 '오아시스'가 해킹돼 개인정보가 모조리 빠져나갔습니다.
유출된 개인정보는 학생과 졸업생의 경우 이름과 주민등록번호, 전화번호, 학사 정보를 비롯한 74개 항목이며 평생교육원 회원의 경우 29개 항목입니다.
대학은 마지막 해킹 이후 13시간이 흐른 지난달 29일 오후 1시쯤 이를 인지하고 홍콩과 일본에서 접속한 IP 주소를 확인해 경로를 차단했습니다.
첫 해킹 공격을 알아차리지 못한 데 대해 대학은 분산 서비스 거부 공격(디도스 공격) 등 비정상적인 공격이 몰렸다면 홈페이지 보안시스템의 알림이 작동했을 텐데, 해커가 단일 IP를 통해 점진적으로 접근해 보안시스템이 인지하지 못했다고 설명했습니다.
(사진=연합뉴스)
동영상 기사
동영상 기사
동영상 기사