경북대 개인정보 유출 사건

 

 

이번에는 경북대에서 발생한 개인정보 유출 사례에 대해 말씀드릴까 합니다. 지난 달 21일에 경북대에서 발생했던 2018년도 수시 모집 지원자의 개인정보 유출 사건이 발생한 후로, 이번에는 중복 건수를 포함해서 80만 명의 암호화된 개인정보가 유출된 것으로 확인되었는데요.

 

문제는 개인정보 유출 정황을 전혀 모르다가 개인정보보호위원회와 교육부에서 감사를 받으면서 이상 접속 기록을 확인하면서 알게된 것입니다. 접속 기록을 확인하지 않았다면 전혀 모르고 넘어갔을 상황이었는데 오늘은 이 부분에 대해 짧게 설명드리도록 하겠습니다.

 

경북대 개인정보 유출 안내 메시지

 

이전에 발생했던 개인정보 유출의 경우 2018년도 수시모집 지원자의 주민등록번호가 포함되어 있었는데, 개인정보보호법 상 주민등록번호와 같은 고유식별 정보는 AES, SEED와 같은 양방향 암호화를 사용하기 때문에 암호화 키가 없으면 복호화하기가 어렵죠.

 

이번에 유출된 개인정보 중에는 암호화된 비밀번호가 포함되어 있었다고 하는데, 쉽게 말해서 MD5나 SHA와 같은 일방향 암호화를 사용했다는 의미입니다. 경북대에서는 암호화를 했으니 복호화가 불가능할 것이라고 말하고는 있지만, 정확히 내부적으로 어떻게 구현되어 있는지 모르기 때문에 단언할 수 없겠죠.

 

경북대는 학생들에게 보내는 안내문에서 "유출된 비밀번호는 국가사이버안보센터에서 인증한 알고리즘으로 암호화되어 복호화(읽을 수 있는 형태로 되돌리는 것)가 불가능하다"면서 "혹시 모를 피해를 방지하기 위해 다른 사이트의 비밀번호를 변경하길 바란다"고 말했다.

출처: 매일신문, "교육부, 경북대 개인정보 유출 항목 추가 확인...더 발견될 가능성도", 2022-12-19

 

기사의 원문을 인용해보면 "국가사이버안보센터에서 인증한 알고리즘"이라고 써져있는데, 결국에는 해시 함수를 사용할 때 충돌 가능성이 적은 SHA-224 이상의 강도를 가진 해시 함수를 사용했다는 말입니다. 그런데 여기서 비밀번호를 암호화할 때 단순하게 일방향 암호화만 적용 했다면, 시간이 조금 걸리더라도 해시함수 역연산을 통해 알아낼 가능성이 존재합니다. 그래서 비밀번호에 임의의 문자열(Salt 값)을 추가하여 암호화하도록 권고하고 있죠. 역연산을 하더라도 비밀번호를 바로 찾아낼 수 없게 만드는 겁니다.

만약 Salt 값을 추가하지 않고 비밀번호를 바로 해시함수를 이용하여 저장했다면 문제가 생길 수 있기 때문에, 다른 사이트 동일한 비밀번호를 사용한다면 반드시 기존 비밀번호를 변경해야 합니다. 그런데 여기서 가장 큰 문제는 비밀번호가 탈취되었다는 사실 자체를 처음부터 모르고 있었다는 것인데요.

 

보통 개인정보가 담겨있는 개인정보처리시스템은 내부망에서만 접속해야 하고 누가 접속했는지도 월 별로 접속기록을 점검해야 합니다. 하지만 경북대에서는 외부망에서 개인정보처리시스템을 접속할 수 있었고, 이상 접속이 있었는지도 몰랐다 하니 보안에 굉장히 소홀했다고 봐야겠죠.

 

교육부, 경북대 개인정보 유출 항목 추가 확인…더 발견될 가능성도

 

아마 조심스럽게 생각해보건대 경북대 뿐만이 아니라 다른 학교에서도 이미 많은 개인정보가 유출되었음에도 모르고 있을 가능성이 높습니다. 대학교도 개인정보가 굉장히 많이 담겨있기 때문에 기업만큼 정보보호에 투자해야 하는데, 이런 사건이 발생하는 것을 보면 생각보다 미흡한 것으로 보이는데요.

 

지금은 대학교도 재학생 수가 1만 명 이상이 되는 경우 정보보호 관리체계(ISMS)를 의무적으로 받고 있는데, 앞으로는 규모가 작은 학교들도 그 대상을 넓히고 주기적인 점검을 통해 개인정보를 보호할 수 있어야할 것으로 생각됩니다. 그럼 이번 글은 여기서 마치죠. 감사합니다.