해킹당한 카이스트 “연구자료 유출 없다…개인정보만 빼앗겨”

카이스트에서 개인정보 유출이 이뤄진 전자 연구 노트 시스템 화면, 오른쪽 아래 공지에 개인정보 유출 안내가 올라와있다.(제보자 제공) 2020.12.04 /뉴스1

한국과학기술원(KAIST·카이스트)이 해킹을 당해 교직원과 학생 개인정보가 유출된 것으로 파악된 가운데, 연구자료 유출은 없다고 거듭 강조했다. 개인정보 유출도 전체 교직원과 전교생이 아닌 일부 학생에 관한 정보라고 설명했다.

하지만 보안 전문가는 해커가 시스템에 침입한 이상 연구정보 유출이 없다고 단언하기는 쉽지 않다는 입장이다.

4일 카이스트에 따르면 이 학교는 지난 3일 오후 11시께 ‘전자연구노트시스템’이 해킹당해 교직원과 학생 개인정보가 유출됐다고 안내 메일을 발송했다.

<뉴스1>이 해당 사실을 보도하기 전까지 개인정보 유출 규모에 대해 공개하지 않던 카이스트는 보도 이후 “모든 이용자가 아닌 일부만을 대상으로 이뤄졌고, 연구자료는 빠져나가지 않았다”고 강조했다.

이와 관련 한국인터넷진흥원(KISA)은 지난 3일 오후 6시쯤 이번 사건에 대한 신고를 접수하고 해킹 규모 등을 파악하기 위해 나섰다.

인터넷진흥원은 “3일 저녁에 신고접수가 돼 아직 현장에 나가보지 못했다”면서 “개인정보보호위원회 등이 사실조사에 나가게 되면 인터넷진흥원도 기술지원을 하게 된다”고 말했다.

이에 대해 보안전문가는 “시스템이 어떤 방식으로 해킹됐는지 공개된 정보가 없어 파악이 제한적이기는 하나 국가 과학기술의 산실인 카이스트의 연구정보 시스템에 해커가 내부 침입을 했는데, 개인정보 일부만 가져가고 연구정보는 그대로 놔뒀다니 상식적으로 이해하기 어렵다”고 지적했다.

카이스트의 침해사실 ‘늦장신고’도 논란이 되고 있다.

카이스트가 직접 밝힌 내용에 따르면 이 학교가 해킹 사실을 인지한 것은 지난 11월11일이고 개인정보 유출사실을 확인한 것도 11월27일이다.

하지만 카이스트는 개인정보보호법과 정보통신망법에 명시된 ‘해킹 및 정보유출 사실을 인지하면 지체없이 관계당국에 신고한다’는 조항을 어기고 ‘늦장신고’를 한 것으로 보인다. 해당 조항을 어기면 과태료가 최대 3000만원까지 부과된다.

현재 해커가 어떤 방식으로 시스템을 해킹했는지, 해킹 범위가 어느정도인지에 대해 카이스트는 일체의 답변을 거부하고 있다.

카이스트는 “지난 11월27일 학생과 교직원 등의 개인정보가 유출된 사실을 확인했다”며 “향후 이와 유사한 사례가 발생하지 않도록 최선의 노력을 다하겠다. 개인정보유출 사고로 심려를 끼쳐 드리게 돼 사과드린다”고 안내 메일을 통해 밝혔다.

이번 유출된 정보는 Δ이름 Δ(카이스트) 포탈 아이디(ID) Δ카이스트 이메일 Δ부서·학과 Δ사번·학번 등이다.

이번에 해킹된 전자연구노트시스템은 전자문서 또는 전자화대상문서의 형태로 연구 노트를 저장·관리하는 시스템이다.

연구노트는 실험자의 연구 과정 관리뿐 아니라 연구 부정 의혹, 특허 분쟁 등이 발생 시 중요 증거 역할을 한다. 연구 노트에는 연구자가 수행하는 연구·실험 등 모든 과정을 기록하는 것이 원칙이다.

교직원과 학생들에게 안내된 바에 따르면 지난 11월11일 카이스트의 전자연구노트시스템에 대한 해킹 의심 시도를 학교 측이 확인했다.

이후 카이스트는 전자연구노트시스템 서비스를 교내 IP대역에서만 접속이 가능하도록 접속 경로를 제한하고 정보보안 주무부서인 정보통신팀에서 취약점을 확인해 제거 및 조치를 했다.

현재는 데이터베이스(DB) 접근 제어 솔루션을 적용하고 추가 보안 정책을 적용한 상태다.

현재 담당 부서는 혹시 모를 피해를 최소화하기 위해 카이스트 포탈 접속 비밀번호 변경을 권유하고, 관련 피해 및 의심 사례에 대한 신고 접수와 상담을 진행 중이다.

(서울=뉴스1)