지난달 14일 전북경찰청 등에 따르면 경찰은 해킹사건과 관련해 해커에게 계정을 제공한 중국 국적 30대 남성 A씨를 해킹 방조 등 혐의로 송치했지만 이 사건의 주범인 해커는 붙잡지 못한 채 경찰 수사가 중단됐다.

앞서 전북대는 개인정보보호위원회로부터 개인정보보호법 위반으로 6억 2300만 원의 과징금과 540만 원의 과태료를 부과받았다.

'오아시스'는 전북대 학생들의 강의 및 수강 신청, 학점 등을 관리하는 핵심 정보들이 저장된 프로그램으로 대학과 교수, 학생들을 연결하는 중요한 커뮤니티 공간으로 활용되는 서버 공간이다.

이 시스템을 통해 유출된 개인정보는 개개인마다 조금씩 차이가 있지만 32만여 명의 재학생과 졸업생들의 개인정보 중 74개 항목(주민등록번호, 학적사항, 사진, 주소 등) 평생교육원 회원의 경우 29개 항목(주민등록번호, 보호자 정보 등)이 유출된 것으로 확인됐다.

이 중에는 심지어 전북대학교 출신의 국회의원과 도의원, 교육감, 교수 등도 포함된 것으로 확인됐고, 뿐만아니라 제3자 등의 정보까지 포함돼 2차 사고 발생 시 광범위한 피해가 우려된다. 이 때문에 피해를 입은 대학 구성원은 물론 해당 가족들까지 여전히 불안감을 호소하고 있다.

해당 사건이 발생하고 전화와 이메일을 통해 1040건의 정보 삭제 등에 대한 민원은 있었지만 실질적 피해는 없어 보상을 지급하진 않은 것으로 알려졌다.

해커는 사건 당일부터 이틀간 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 악용해 학번 정보를 입수한 후 학적 정보 조회 페이지 등에서 약 90만회의 파라미터 변조 및 무작위 대입을 통해 전북대 학생 및 평생교육원 홈페이지 회원 총 32만여명의 개인정보에 접근한 것으로 파악됐다.

전북대는 개인정보 유출 사태를 엄중하게 인식하고 유사 사례 재발 방지를 위해 사고 발생 직후 취약점을 면밀히 분석해 2단계 인증을 적용하고, 보안을 강화했다.

또한 차세대 사이버위협탐지체계를 구축했으며, 상시 모니터링 체계 강화, 시큐어코딩 기술을 적용한 보안 취약점 원천 차단 체계를 구축했다.

전북대 관계자는 "개인정보보호위원회의 시정명령을 무겁게 받아들이고, 관련 사항을 충실히 이행해 개인정보 보호 수준을 선도적으로 강화하는 계기로 삼겠다"고 밝혔다.

/최성민 기자