보안우수 전북대,왜 해킹 당했나

전북대학교 통합정보시스템이 해커의 공격으로 해킹돼 학생과 졸업생 등 32만여 명의 개인정보가 유출됐다.
하지만 전북대는 해커의 공격이 시작된 후 공지까지 하루가 넘게 걸렸다. 수십 시간동안 전북대는 취약한 보안을 그대로 드러낸 셈이다.

#최초 공격 후 36시간여만에 인지한 해커의 공격
전북대에 따르면 해커는 지난달 28일 오전 3시와 오후 10시, 11시20분 등 모두 세 차례에 걸쳐 대학통합정보시스템인 '오아시스'를 공격했다.
오전 3시에 시도한 첫 번째 공격은 실패했지만 오후 10시에 시도한 공격은 전북대의 방어막을 돌파했다. 2차 성공 시도 후 해커는 오후 11시20분부터 전북대 오아시스에 접속해 다음날 오전 5시까지 약 6시간동안 3차 공격이 이뤄졌다.
해커는 재학생 및 졸업생, 평생교육원 회원 등 32만2425명의 개인정보를 빼냈다.
유출된 개인정보 항목은 이름과 주민등록번호, 전화번호, 이메일, 학사정보 등으로 확인됐다. 학생과 졸업생은 74개 항목이, 평생교육원 회원은 29개 항목이 각각 유출됐다.
대학 측은 다음날인 지난달 29일 낮 1시 30분께 해커의 공격을 뒤늦게 알아차렸다. 대학 보안팀은 모니터링을 벌이던 중 시스템의 이상 징후를 인지했다.
대학 측은 판단이 늦은 이유로 여럿 업체와의 확인과정과 피해규모 등을 파악하는 과정에서 피해규모 공지가 늦어졌다고 설명했다.
#해킹시도 자동알림 미작동…대학 측 "수강신청 기간이라"
전북대는 비정상적으로 사람이 많이 몰리고 한 사람이 오랜 기간 머물 경우 이상징후를 포착해 관리자에 자동알림을 보내는 프로그램이 적용되어 있다. 하지만 이러한 자동알림 기능은 작동하지 않았다.
대학 측은 "수강신청 기간 동시접속자 등을 고려할 때 평균 수치로 모니터링 결과 나타났다"면서 "이러한 상황에서 인지가 늦어진 것으로 보인다. 알림 설정 값에는 이상이 없다"고 설명했다.
하지만 해커가 본격적으로 공격을 하기 시작한 시간은 수강신청이 많이 몰리지 않은 새벽시간대였다. 수강신청 인원이 몰리는 시간도 아니기 때문에 대학 측이 실시간 모니터링 시스템을 꼼꼼히 하지 않았다는 의문이 제기되는 이유다.
대학 관계자는 "이번 해킹시도에 대해 우리가 늦게 대응한 것은 매우 죄송스럽다"면서 "철저하게 대응했어야 하는데 많은 정보가 유출돼 다시 한 번 죄송하고 또 죄송하다"고 했다.

#지난달 교육부 보안등급 '우수'…한 달도 안 돼 뚫려
전북대는 지난달 교육부 보안등급 심사에서 '우수' 평가를 받은 것으로 파악됐다. 하지만 한 달도 채 되지 않아 단 한명의 해커공격으로 보안시스템이 돌파당한 것.
우수평가를 받은 전북대의 보안프로그램은 적용한지 약 10년이 넘은 것으로 나타났다. 심지어 지난해 대규모 디도스 공격도 있었다. 당시의 디도스 공격은 실패로 돌아가 방어에 성공했다.
노후 보안프로그램의 장기 사용이 해커에 빌미를 줬었을 가능성도 제기되고 있다. 하지만 대학 측은 차세대 보안시스템을 준비하는 과정에서 이번 사태가 발생했다고 설명하고 있다.
전북대 관계자는 "10년이 넘은 프로그램이라도 버전 업그레이드 등은 지속적으로 했다"면서 "차세대 보안시스템을 적용하기 위해 110억원 정도의 예산을 편성했고, 현재 올해 말부터 차세대 시스템 구축을 진행하려 했는데 이 같은 상황이 발생해 매우 죄송하다"고 했다.

#'금전피해 없지만'…피해의심 신고 본격
전북대는 이날 오후 1시20분 기준 전화를 통한 피해민원 744건, 이메일을 통한 민원 330건, 국민신문고를 통한 3건 등 총 1077건의 민원이 접수됐다고 밝혔다.
현재까지 금전적 피해는 없지만 피싱에 활용된 것으로 의심되는 피해신고도 접수된 것으로 파악됐다.
대학 측은 "카카오톡이나 텔레그램 등을 활용한 보이스피싱 또는 스미싱 시도 흔적이 발견되고 있다"면서도 "이번 개인정보 유출로 인한 시도로 단정하기는 어려운 상황"이라고 설명했다.
그러면서 "명의도용을 통한 통신사 가입, 이메일을 통한 악성코드 유포, 보이스피싱 등 여럿 피해가 발생할 수 있다"면서 "주변인들에게 피해를 알리고 의심 현상이 발견될 경우 즉시 경찰에 신고해 피해를 막아야 한다"고 덧붙였다. /뉴시스