전북대 통합정보시스템 해킹…주민번호 등 32만 명 개인정보 유출

전북대학교의 학사 업무 등을 관리하는 통합정보시스템이 해킹된 것으로 확인됐습니다.

전북대학교에 따르면 지난달 28일 오전 3시와 오후 10시, 오후 11시 20분 등 세 차례에 걸쳐 대학 통합정보시스템인 '오아시스'가 해킹돼 재학생과 졸업생 등 32만 2,425명의 개인정보가 빠져나갔습니다.

유출된 개인정보는 학생과 졸업생의 경우 이름과 주민등록번호, 전화번호, 학사 정보를 비롯한 74개 항목이며 평생교육원 회원의 경우 29개 항목입니다.

대학은 마지막 해킹 이후 13시간이 흐른 지난달 29일 오후 1시쯤 이를 인지하고 홍콩과 일본에서 접속한 IP 주소를 확인해 경로를 차단했습니다.

대학은 해커가 오전 3시에 첫 해킹을 시도했으나 실패했고, 이후 두 번째 시도에서 1차 공격에 성공한 뒤 세 번째 시도에서 대량의 개인정보가 탈취된 것으로 보고 있습니다.

첫 해킹 시도를 알아차리지 못한 이유에 대해 "분산 서비스 거부 공격 등 비정상적인 공격이 몰렸다면 홈페이지 보안시스템의 알림이 작동했을 텐데, 해커가 단일 IP를 통해 점진적으로 접근하다 보니 보안시스템이 인지하지 못했다"고 설명했습니다.

대학은 기관 개인정보 유출 사고 대응 매뉴얼에 따라 개인정보 침해사고 대응반을 꾸리고 이날 대학 홈페이지에 "진심으로 사과드린다"며 개인정보 유출 경위와 피해 상황 등을 알렸습니다.

대응 매뉴얼에 따르면 대규모 개인정보 유출 등을 알게 되었을 때는 72시간 이내에 유출 시점과 경위, 유출로 인해 발생할 수 있는 피해 등을 홈페이지에 게시해야 합니다.

대학은 이번 해킹 사건을 계기로 개인정보가 입력된 시스템 접근 시 2단계 인증 의무화 등 보완 대책을 마련할 예정입니다.

특히 개인정보 유출 피해를 최소화하기 위해 피해 조회 페이지를 운영하고 실제 피해 사례 신고 접수창구도 별도로 운영하기로 했습니다.

전북대 정보혁신처 관계자는 "해커들은 외국 IP 주소로 우회하기 때문에 홍콩과 일본에서 접속 기록이 확인됐다고 해도 누가 공격을 했는지는 면밀한 조사가 필요하다"며 "교육부 사이버안전센터(ECSC) 신고 등 유관기관과 긴밀히 협력해 해당 사건에 대해 조사할 예정"이라고 말했습니다.

(사진=전북대학교 홈페이지 화면 캡처, 연합뉴스)