지난달 28일 해킹으로 32만명의 개인정보가 유출된 전북대학교에서 지난해 '디도스(분산서비스거부 공격, Distributed Denial of Service Attack) 공격'이 있었는데, 그 이후 보안조치가 제대로 이뤄졌는지에 대한 의문이 제기되고 있다.

특히 지난해 사건 발생 당시 경찰 등으로부터 방화벽 강화와 서버 교체 등이 권고됐지만 전북대는 디도스 대응 장비만을 구입한 뒤 서버 강화 등의 조치는 하지 않은 것으로 확인됐다.

6일 전북일보 취재를 종합하면 전북대는 지난해 2월 해외 해커로부터 디도스 공격을 받아 9시간 가량 학교 내부 전산망에 간헐적인 네트워크 장애가 발생했다.

디도스 공격이란 컴퓨터 서버나 네트워크 장비를 대상으로 처리할 수 없는 과도한 트래픽을 발생시켜 정상적인 데이터 전송에 장애를 일으키는 공격을 뜻한다.

다행히 당시 데이터 유출이나 삭제 등의 피해는 없었던 것으로 알려졌지만, 신고를 받고 수사에 나섰던 경찰은 피의자 추적에는 실패했다. 중국 지역으로부터의 공격이라는 단서만 남겨졌다.

디도스 공격 이후 경찰과 정보통신업계는 전북대에 구식 서버를 교체하고 방화벽 프로그램 강화 등을 권고한 것으로 알려졌는데, 전북대 측은 지난해 6월 사용자 위협탐지 대응장비(TA-STR)만을 구입했다. 서버 교체 사업 등은 이뤄지지 않았다.

또 전북대는 지난해 디도스 공격 이후 보안강화책을 추진하고 있지만 10개월이 지난 지난해 말부터 추진돼 현재도 기획단계에 머물러 있는 것으로 전해졌다.

이런 가운데 전북대는 최근 이뤄진 교육부 정보보안 수준 진단에서 우수 등급을 받아 평가 적절성 논란도 제기되고 있다.

전북대 개인정보 유출과 관련한 피해 보상 대상과 규모에도 관심이 쏠리고 있다.

법조계 등에 따르면 지난 2014년 국내 3곳의 카드사에서 1억 4000만 건에 달하는 개인정보(주민번호, 휴대전화번호, 주거상황 등 19종)가 유출됐다.

이에 약 2만 명에 달하는 피해자들이 공익소송을 진행했고, 원고들에게 10만 원씩의 손해배상을 지급하라는 판결이 내려졌다.

당시 재판부는 ‘2차 피해로 이어지지 않은 경우에도 피해가 발생했다고 볼 수 있다’고 판시했는데, 전북대의 32만 명을 대입해도 320억 원이라는 막대한 비용이 계산된다.

전북경찰청 사이버수사대는 개인정보를 훔쳐간 해커를 추적함과 동시에 전북대 전산망 관리 소홀 등 과실 여부도 함께 조사 중이다.

경찰은 해킹에 사용된 아이피(IP)와 당시 접속 기록을 분석하고 해커가 가상 사설망(VPN)을 사용했을 가능성을 염두에 두고 국제 공조 수사를 요청한 상태다.

황석진 동국대학교 국제정보보호대학원 교수는 "학교의 서버들이 공적인 부분이 많아 해커들의 쉬운 먹잇감이 되는 경우가 종종 있다"며 "개인정보가 유출된 사실만으로도 피해 보상을 요청할 수 있다. 개인정보 유출을 막기 위해서는 일단 소프트웨어를 최신 버전으로 업그레이드하고 가장 중요한 방어벽을 강화해야 한다"고 말했다.

그러면서 "외부에서의 침입 사실을 빠르게 파악하는 것이 중요한데, 하루가 지난 뒤에 알게 됐다면 평소 관리하는 인력 자체가 상당히 부족하다는 뜻으로 해석될 수 있다. 보안인력과 보안체계 강화가 필요하다"고 제언했다.

한편 현재 전북대학교에는 보상 요구, 자료 삭제, 유출 확인증명 등 1040건 가량의 민원이 접수된 것으로 파악됐다.

저작권자 © 전북일보 인터넷신문 무단전재 및 재배포 금지