11월9일 카이스트 내부 공지 메일, 악성 메일을 열었을 때 파밍 사이트 연결로 이어진다는 내용 (제보자 제공) 2020.12.07 /뉴스1

우리나라 과학기술교육의 산실인 한국과학기술원(카이스트·KAIST)에서 재학생·교직원·졸업생·연구원 등 총 3만609명의 개인정보가 유출된 대규모 해킹 사고가 발생하기 이틀 전 '사전 공격'이 있었던 것으로 드러났다. 사전 공격 탐지에도 정보보호 대응에 실패해 피해 규모를 키웠다는 지적이다.

8일 <뉴스1>의 취재를 종합하면 카이스트는 지난 11월9일 '[알림] 서류 접수 요청드립니다, VPN 신청 접수 바랍니다' 등 학교 공지문을 사칭한 제목의 메일을 클릭하면 카이트 메일 사이트가 열리면서 아이디와 비밀번호를 요구하는 파밍(Pharming)사이트 발송 문제를 내부에 고지했다. 파밍은 악성코드에 감염된 PC를 조작해 이용자가 정상적인 홈페이지 주소로 접속해도 가짜 사이트로 유도돼 개인 정보 등을 유출하는 수법이다. 

특히 11월9일은 카이스트가 이번 해킹시도 의심 정황이 확인됐다고 공식적으로 밝힌 11월11일보다 이틀 앞선 시점으로 학교측은 이때 이미 해커들의 사전 공격을 인지했던 셈이다. 
 
취재 결과, 사전 공격은 악성 메일로 이뤄졌다. 파밍사이트 수법의 악성 메일은 카이스트 '학술문화원'(도서관) 직원들을 중심으로 뿌려졌고 일부가 악성 메일을 열었다. 악성 메일을 이용한 1차 공격으로 관련 교직원의 카이스트 내부 시스템 아이디와 패스워드(비밀번호)가 시스템 공격자(해커) 측에 탈취돼, 개인정보 대규모 유출(2차 공격)로 이어진 것으로 파악됐다. 

학술문화원에는 △정보통신팀 △학술정보개발팀 △정보화전략팀 △IT개발팀 △학술정보운영팀 등 도서관 운영 및 학술 전산 관리 부서가 속해있다. 이번에 개인정보 유출이 일어난 '전자연구노트 시스템'도 이들 부서에서 관리한다.

11월13일 발송된 카이스트 내부 공지 메일. 카이스트 포탈을 통한 메일 서비스 이용 부분에 중요한 보안 이슈(해킹공격 등)가 발생했다는 알림. (제보자 제공) 2020.12.07 /뉴스1

이어 지난 11월13일에는 카이스트 포털 사이트를 통한 메일 서비스 이용에 해킹공격이 발생했다고 내부 공지했다. 그간 카이스트는 사용상의 편의를 위해 포털에서 메일을 별도 로그인 없이 이용할 수 있수록 서비스 했지만 보안이슈가 발생한 것. 이때문에 카이스트 포털과 메일서비스 연계 시스템의 보안 취약점을 파악하고 포털과 메일 서비스를 뒤늦게 분리했다. 

결국 이달 3일 학생 등 이용자 빈도가 가장 많은 '전자연구노트시스템'이 해킹당해 개인정보가 유출된 사실을 통지하기 이전부터 11월 내내 보안 사고가 잇따랐던 것이다.  

카이스트는 개인정보 유출 피해자들에게 "필요한 조사를 거쳐 손실보상이나 손해배상 등의 구제 절차를 진행하도록 하겠다"며 "내부 개인정보 보호 관리체계를 개선하고 관계 직원 교육을 통해 인식을 제고해 향후 이와 유사한 사례가 발생하지 않도록 노력하겠다"고 밝혔다.

한국과학기술원(KAIST) 학술문화관 (한국과학기술원 학술문화관(도서관) 홈페이지 갈무리) 2020.12.07 /뉴스1

seungjun241@news1.kr