기본적 공격에도 대비 부족해 문제 커져
“학번만 바꿔도 개인정보 다 나오는 구조”
아마존·MS·네이버클라우드에는 개선 권고
“이용자 직접 설정해야 하는 기능 안내 강화”
12일 개인정보위는 서울 종로구 정부서울청사에서 브리핑을 열고 이같은 내용을 발표했다.
전북대학교는 2024년 7월 28일부터 이틀 간 해커의 에스큐엘(SQL) 인젝션(데이터베이스 명령어 주입)과 파라미터(입력값) 변조 등의 공격을 받아 학사행정정보시스템에 저장된 개인정보 32만여 건을 유출당했다. 이 중 주민등록번호는 28만여 건에 달한다.
조사 결과 전북대 시스템의 비밀번호 찾기 기능에 구축 초기부터 존재하던 취약점을 해커가 악용해 전체 학번 정보를 추출한 뒤 학사정보 조회 페이지에서 약 90만 회의 파라미터를 변조해 개인정보를 탈취한 것으로 나타났다. 취약점은 2010년 12월부터 13년 넘게 존재했던 것으로 확인됐다.
이화여자대학교도 지난해 9월 2일부터 이틀 간 해킹 공격을 받아 약 8만3000명의 개인정보가 유출됐다. 해커는 데이터베이스 조회 기능의 취약점을 이용해 10만여 회에 걸쳐 무차별 대입을 시도했고 학부생 및 졸업생의 개인정보를 대량으로 추출했다. 이화여대 역시 2015년 11월 시스템 구축 당시부터 취약점을 방치해 온 것으로 드러났다.
강대현 개인정보위 조사총괄과장은 “공격 방식은 되게 심플하다. 아주 기본적이고 기초적인 공격”이라며 “비밀번호 찾기 기능에서 SQL 인젝션 취약점이 그대로 남아 있었고 학번만 바꿔도 개인정보가 다 보이는 구조였다”고 설명했다.
강 과장은 이어 “보안 솔루션은 있었지만 데이터 흐름에 맞춰 경보를 울리거나 차단하는 체계가 제대로 작동하지 않았다. 장비만 있고 대학 자체에 보안 전문 인력이나 운영 노하우가 부족한 상태였다”며 “두 곳 다 대규모 대학임에도 상시 모니터링 체계가 없었고 탐지 지연으로 피해 규모가 더 커졌다”고 지적했다.
이날 개인정보위는 아마존웹서비스(AWS), 마이크로스프트 애저, 네이버클라우드 3사가 개인정보 보호를 위한 필수 기능을 갖추고는 있으나 일부 기능은 이용자가 직접 설정해야 적용되는 구조라는 안내를 강화하도록 권고했다.
가령 하위계정 발급이나 접근권한 차등 부여 기능, 지식재산권(IP) 제한 설정, 2차 인증 등은 기본적으로 지원되지만 실제로 이를 작동시키기 위해선 이용사업자가 직접 설정을 해야 하는 경우가 많았다. 특히 관리자 외 계정에 대한 2차 인증 설정이나 최대 접속 시간 제한 기능은 일부 플랫폼에서는 기본 적용되지 않아 주의가 요구된다.
접속기록 및 이상행위 탐지 기능의 경우 대부분의 서비스가 기본 제공하는 보존 기간은 짧았으며, 법적으로 요구되는 최대 3년 간의 기록 보관을 위해서는 별도의 저장공간 구매 또는 솔루션 구독이 필요한 상황이다. 암호키 관리나 악성코드 탐지 기능도 마찬가지로 별도 보안솔루션을 통해 제공되고 있었다.
개인정보위는 이들 클라우드 사업자에게 추가 설정이 필요한 항목과 방법을 개발 가이드나 설명서를 통해 명확히 안내하도록 권고했으며, 향후 한국인터넷진흥원 등과 함께 타 클라우드 기업 및 이용자에 대해서도 계도를 강화해 나갈 계획이다.
!['유튜브 리캡' 열기 활활…올해 연말 결산, 당신의 취향은? [솔드아웃]](https://img.etoday.co.kr/crop/320/200/2264572.jpg)
