지난해 7월 대학통합정보시스템인 '오아시스'가 해킹을 당해 재학생 및 졸업생, 평생교육원 회원 등 32만 2,425명의 개인정보가 유출돼 파장이 거셌던 전북대학교가 6억원대의 과징금을 내게 됐다.

그러나 외부 공격 대응이 미흡했을 뿐 아니라 일과 시간 외에는 모니터링도 소홀했다는 지적을 받고 있는 가운데 사건 발생 1년이 돼가지만 해커 수사는 여전히 표류 중이어서 2차 피해가 언제 어디서 발생할지 모르는 불안한 상황이 계속 이어지고 있다. 

개인정보보호위, 과징금·과태료 부과 외에 취약점 점검 강화·상시 모니터링 체계 구축·책임자 징계 권고 

12일 국무총리실 소속 개인정보보호위원회에 따르면 전날 개최된 전체회의에서 개인정보 보호법을 위반해 개인정보를 유출한 전북대에 6억 2,300만원의 과징금과 540만원의 과태료를 부과하기로 의결했다.

개인정보보호위원회는 전북대에 과징금·과태료 부과뿐 아니라 대학 홈페이지에 공표하도록 하는 등 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령했으며 책임자에 대한 징계도 권고했다. 

조사결과 전북대는 지난해 7월 28일부터 이틀간 해커로부터 에스큐엘(SQL) 인젝션과 파라미터 변조 공격을 받아 학사행정정보시스템에 보관된 32만여 명의 개인정보가 외부로 유출됐다. 탈취된 개인정보에는 주민등록번호 28만여 건이 포함됐다.

해커는 전북대 학사행정 정보시스템 속 비밀번호 찾기 페이지가 보안에 취약하다는 점을 이용해 학번 정보를 입수한 뒤, 약 90만 회에 걸쳐 '파라미터(입력값)' 변조 및  무작위 대입을 통해 전북대 학생 및 평생교육원 홈페이지 회원 총 32만여명의 개인정보에 접근한 것으로 파악됐다.

개인정보 유출 주범 '해커' 윤곽조차 못 잡아...수사 장기화 불가피

해당 취약점은 시스템이 구축된 2010년 12월부터 존재했으나 전북대는 이를 제대로 개선하지 않았다.  사고 이후 전북대는 "개인정보 보호 수준을 강화하는 계기로 삼겠다"며 "차세대 통합정보시스템을 구축하고 있다"고 밝혔지만 전북대 개인정보 유출 사태와 관련해 개인정보보호위원회 산하 분쟁조정위원회에는 약 100여 건의 조정 신청이 계류 중인 것으로 파악됐다.

한편 해킹 사고 직후 전담 수사팀을 꾸렸던 경찰은 해커에게 휴대전화 인증정보 등을 제공한 30대 중국인 남성은 지난달 해킹을 방조한 혐의를 적용해 검찰로 넘겼지만 주범인 해커는 윤곽조차 못 잡고 있는 실정이다. 경찰은 해커가 특정되면 수사를 재개하겠다는 입장이지만 장기화가 불가피하다는 지적이 우세하다.  

앞서 전북대는 지난해 7월 28일 오전 3시와 오후 10시, 11시 20분경 등 모두 세 차례에 걸쳐 대학통합정보시스템인 '오아시스'의 보안 취약점을 이용한 해커의 개인정보 해킹으로 재학생 및 졸업생, 평생교육원 회원 등 32만 2,425명의 개인정보가 유출됐다고 밝혔다. 

주민등록번호, 학번, 학점, 수강 과목 교수 등 정보 수십개 항목 유출...'불안감' 여전

‘오아시스’는 전북대 학생들이 강의 및 수강 신청, 학점 등을 관리하는 핵심 정보들이 저장된 프로그램으로 대학과 교수, 학생들을 연결하는 중요한 커뮤니티 공간으로 활용되는 서버 공간이다. 그런데 이곳을 통해 유출된 개인정보는 개개인마다 조금씩 차이가 있지만 32만여명의 재학생과 졸업생들의 개인정보 중 74개 항목(주민등록번호, 학적사항, 사진, 주소 등), 평생교육원 회원의 경우 29개 항목(주민등록번호, 보호자 정보 등)이 유출된 것으로 확인됐다.

이 중에는  외국 유학생들의 정보까지 포함된 데다 보호자 성명, 학생 주소, 지도교수 성명과 사번, 수강신청 학점, 교직 인적성 패스 여부 등 학생과 관련된 제3자 등의 정보까지 포함돼 2차 사고 발생 시 광범위한 피해가 우려된다. 이 때문에 재학생 및 졸업생은 물론 교수와 해당 가족들까지 불안감을 호소하고 있다.  

/박주현 기자