대학 등 공공기관 15곳 해킹한 '간 큰 대학생'···중간고사 시험문제도 빼돌려 (종합)

출처 : 게티이미지뱅크

경북대 등 국내 5개 대학과 10개 공공기관을 해킹해 수십만 명의 개인정보를 빼낸 대학생이 구속됐다.

대구경찰청 사이버범죄수사대는 정보통신망법 위반 및 위계에 의한 공무집행방해 혐의로 경북대 재학생 A씨를 구속했다고 27일 밝혔다. 경찰은 또다른 경북대 재학생 B씨도 불구속했다. B씨는 경북대 정보통신망에서 학생·교직원의 개인 정보를 열람한 혐의다. 이들 모두 경북대 내 정보보안 동아리 활동을 해 온 것으로 전해지는데, 경찰은 둘 간 공모 관계는 없었던 것으로 보고 있다.

경찰에 따르면, A씨는 2021년 8월부터 지난해 11월까지 경북대·숙명여대·구미대·대구가톨릭대·대구한의대 등 5개 대학교와 10개 공공기관에 분산된 로그기록을 분석해 81만여명의 개인정보 217건을 빼돌린 혐의를 받는다. 또 지난해 2학기 중간고사 전 문제를 미리 빼돌려 응시한 것으로도 확인됐다. 하지만 경찰은 시험 시작 직전에 문제를 확인하는 수준에 그쳐 성적에는 큰 영향을 주지 않은 것으로 보고 있다.
 

그래픽=장수현 기자 〈게티이미지 뱅크〉

이들은 사용자와 서버 사이에 주고 받는 '파라미터 값'을 변조해 사용자 정보를 조작하는 수법 등을 통해 이 같은 범행을 저지른 것으로 조사됐다. 가령, 성적 관련 페이지에서 학번(파라미터 값)을 변조하면 타인의 성적 조회가 가능한 점을 악용했다. 또 외부에서 관리자 전용 페이지에 접근이 가능할 뿐 아니라 계정 대부분이 admin, administrator, root 등 관리자임이 추측 가능한 점도 노렸다. 관리자 계정 대부분은 비밀번호 또한 1234와 같이 단순해 이들의 해킹에 무방비로 노출됐다. 이렇게 경찰이 확인한 이들의 해킹 수법만 6가지에 달한다.

다만, 이들이 해킹한 개인정보는 외부로 유출된 정황은 없는 것으로 확인됐다. 경찰 관계자는 "경제적 목적을 두고 이 같은 범죄를 저지른 것은 아닌 것으로 파악된다. 스스로 수집욕이 있고, '타인의 개인정보를 취급하고 있으면 도움이 될 것 같다'는 식으로 진술했다"며 "직접적으로 피해를 주지 않을 경우 문제가 없을 것으로 생각하는 등 큰 죄의식 없이 해킹 범죄를 저질렀다"고 했다.

또 "개인 정보를 취급하는 기관은 정보통신망에 대해 정기적인 보안 취약점 점검 등을 통해 유사 사례가 재발하지 않도록 주의를 기울여야 한다"며 "81만여 명의 개인정보가 노출된 만큼 피해가 의심 될 경우 비밀번호 변경 등 조치를 취하고 출처를 알 수 없는 링크 클릭 주의, 보안 설정 강화, 백신프로그램 설치 등 사이버 범죄 피해 예방수칙도 반드시 준수해야 한다"고 덧붙였다.

한편, 경북대는 지난해 11월 학번·성별·보호자 주소 등 12개 항목의 개인정보가 유출된 점을 확인해 사과문을 게시했다. 숙명여대와 구미대도 각각 6월 20일과 지난 16일 홈페이지 등을 통해 개인정보 유출 사실을 알렸다

 

양승진기자 promotion7@yeongnam.com 

영남일보(www.yeongnam.com), 무단전재 및 수집, 재배포금지