전북대학교의 학사 업무 등을 관리하는 통합정보시스템이 해킹 공격을 받아 개인정보가 유출되는 사고가 발생했다.
전북대학교는 지난달 28일 오전 3시와 오후 10시, 오후 11시 20분 등 세 차례에 걸쳐 대학 통합정보시스템인 ‘오아시스’가 해킹되면서 학생 및 졸업생 32만2,425명의 개인정보가 유출됐다며 1일 사과문을 올렸다.
유출된 개인정보는 학생과 졸업생의 경우 이름과 주민등록번호, 전화번호, 학사 정보를 비롯한 74개 항목이며 평생교육원 회원의 경우 29개 항목이다.
대학은 마지막 해킹 이후 13시간이 흐른 지난달 29일 오후 1시께 이를 인지하고 홍콩과 일본에서 접속한 IP 주소를 확인해 경로를 차단했다. 대학은 해커가 오전 3시에 첫 해킹을 시도했으나 실패했고, 이후 두 번째 시도에서 1차 공격에 성공한 뒤 세 번째 시도에서 대량의 개인정보가 탈취된 것으로 보고 있다.
첫 해킹 시도를 알아차리지 못한 이유에 대해 “분산 서비스 거부 공격(디도스 공격) 등 비정상적인 공격이 몰렸다면 홈페이지 보안시스템의 알림이 작동했을 텐데, 해커가 단일 IP를 통해 점진적으로 접근하다 보니 보안시스템이 인지하지 못했다”고 설명했다.
대학은 기관 개인정보 유출 사고 대응 매뉴얼에 따라 개인정보 침해사고 대응반을 꾸리고 이날 대학 홈페이지에 “진심으로 사과드린다”며 개인정보 유출 경위와 피해 상황 등을 알렸다.
대응 매뉴얼에 따르면 대규모 개인정보 유출 등을 알게 되었을 때는 72시간 이내에 유출 시점과 경위, 유출로 인해 발생할 수 있는 피해 등을 홈페이지에 게시해야 한다.
특히 개인정보 유출 피해를 최소화하기 위해 피해 조회 페이지를 운영하고 실제 피해 사례 신고 접수창구도 별도로 운영하기로 했다.
전북대학교는 “이번 사안의 심각성을 엄중하게 인식하고 있으며, 사고 원인을 면밀하게 분석해 유사 사고가 재발하지 않도록 보안 교육 실시, 보안 점검, 시스템 취약점 점검, 보안시스템 강화 등 재발방지 대책을 철저히 마련하도록 하겠다”고 말했다.
댓글0