[과기특성화대 보안, 괜찮나②]카이스트 해킹發 보안구멍…결국은 기본부터

카이스트 해킹 '고전적 방식'…상시 관리·투자 필요

(서울=뉴스1) 김승준 기자 | 2020-12-14 06:45 송고

편집자주 한국과학기술원(KAIST)이 해킹돼 3만여명의 개인정보가 유출되는 사고가 발생하면서 과학기술정보통신부 산하 연구기관의 보안 허점이 도마위에 올랐다. KAIST를 비롯해 광주과학기술원(GIST), 대구경북과학기술원(DGIST), 울산과학기술원(UNIST), 한국해양과학기술원(KIOST) 등 총 5개의 과학기술원은 겉보기엔 보통 대학과 다를 바 없지만 법적으로는 '대학'이 아니다. 제도적으로 사각지대에 놓여있는 과기특성화대의 보안 문제, 이대로 괜찮을까.

한국과학기술원(카이스트·KAIST)에서 재학생·교직원·졸업생·연구원 등 총 3만609명의 개인정보가 유출된 대규모 해킹 사고는 악성 메일을 통한 시스템 관리자 정보 탈취 공격과 시스템 침입으로 이뤄졌다.

전문가들은 이러한 공격 방식이 새롭지 않은 것이라고 입을 모은다. 비슷한 시기에 일어난 카카오의 블록체인 계열사 '그라운드원' 역시 공용계정이 탈취돼 개인정보가 유출됐다.

김승주 고려대학교 정보보호대학원 교수는 "이메일을 보내서 공격하는 것은 굉장히 고전적인 기법이지만 효과적이라 계속 반복되는 것"이라며 "100퍼센트 막는 것은 쉽지 않지만, 여러 가지 장비와 인력 투자를 해야한다"고 강조했다.

전통적인 해킹 방식인 만큼 기초적인 보안 투자와 지침 준수를 강화해야 한다는 지적이다.

◇국가 과학기술 경쟁력 기르는 과학기술원…통제는 어려운 환경

과학기술원들은 국가 과학기술 경쟁력 제고를 위한 설립 취지에 맞게 다양한 연구 중심 기관(대학)으로서 성과를 내고 있다.

한국과학기술원은 반도체·양자컴퓨터·암 치료 연구 등 다방면에서 세계적 성과를 내고 있고, 울산과학기술원은 화학·2차전지, 광주과학기술원은 신소재공학·인공지능(AI) 분야, 대구경북과학기술원은 융합연구 등에 특화해 성과를 내고 있다. 이같은 성과를 바탕으로 지역·산업체와의 협업도 이어나가고 있다.

과기정통부 산하의 다른 연구기관인 출연연의 경우, 외부인 출입 통제, 업무용 컴퓨터 관리, 업무·연구망 전용 사용 및 모니터링 등 자체 보안 대책을 시행한다.

반면, 출연연에 비해 대규모 인원이 오가는 과학기술원들은 사정이 다르다. 제보에 따르면 카이스트는 2019년 개정 지침에 상용(외부) 메일 시스템 제한 조항이 없거나, 개인 저장장치(USB 등), 미등록 저장매체·컴퓨터를 사용하는 등 보안 위험을 초래하는 문제가 이어졌다.

보안 실무자·전문가들은 과학기술원이 대학의 특성이 있어 관리가 어렵다고 입을 모았다.

과학기술원 보안 관련 실무자는 "출연연 등은 물리적 출입 관리부터 보안이 이뤄지고 있다. 하지만 과학기술원 같은 경우는 담장부터 개방된 형태다"라며 "보안을 이유로 서버를 막게 되면 일반 연구·교육 서비스가 어려워지는 문제도 있다"고 토로했다.

과기정통부 산하 기관 보안 관제 업무를 담당하는 '과학기술사이버안전센터' 관계자 역시 "학교는 유동인구가 많고 주관 부서에서 관리받으면서 컴퓨터·단말기를 사용해야 하는 데 통제가 어렵다"라며 "(늘어가는 스마트 기기, 사물인터넷 기기 등) 다양한 기기·운영체제가 늘어나는 상황에서 한정된 인력과 예산으로 어려운 부분이 있다"고 설명했다.

◇"우리는 교육부 소관이 아니라 ISMS 필요 없다?"…기본에 충실해야

전문가들은 과학기술원이 유동인구가 많고 개방적인 대학의 특성을 가진 이상 특별한 해결책을 찾기 어렵기에 상시적인 관리·투자·보안 교육 등이 필요하다고 지적했다.

김승주 고려대 교수는 "학교의 특성상 워낙 자유도가 높아서 대책을 마련하기도 쉽지 않다"며 "몇 년 전부터 과기정통부 등도 대학들에 ISMS를 받으라고 하지만 대학들이 받고 있지 않으려는 경우가 있다. 그런 행태는 고쳐져야 한다"고 밝혔다.

이어 "(ISMS와 같은 인증제도는) 학생·고객의 정보를 지키기 위해서 최선을 다했다는 것을 입증해놓기 위해서 대학 스스로가 알아서 받아야 하는 것"이라고 강조했다.

다른 보안 실무자는 ISMS와 같은 인증 제도는 관리 체제를 점검하는 것으로 상시적인 보안 관리가 중요하다는 점을 짚었다. 실제로 지난해 말 해킹 사건이 일어난 암호화폐 거래소 중에는 ISMS 인증을 받은 업체가 있었다.

과기정통부 관계자는 "예방하고 보안 사고가 발생했을 때 피해를 최소화할 수 있도록 매뉴얼·지침을 마련하고 있다"며 "보안 의식 고취·교육 강화가 중요하다"고 밝혔다.

과학기술원의 보안을 강화하기 위해서는 설비·투자, 대학본부의 의지가 중요하다는 지적도 있다.

대학 연구실의 경우에는 자체적으로 서버를 구축하거나 등록 안 된 개인 컴퓨터 등을 사용하기도 한다. 이에 대해 과학기술원 관계자는 "학과의 중요 정보나 서버는 학교 보안팀이 관리하는 서버실 등에 보관하도록 안내해도, (설비가) 포화상태라 확대가 필요하다"며 "외부 클라우드 등이 위험성이 있을 수 있는데 내부 클라우드를 구축하고, 보안 인력 확충이 필요하다"고 밝혔다.

김 교수는 "중요한 정보가 없거나, 연구실 보안 역량이 뛰어나면 자체적으로 서버 구축할 수 있지만, 보안 전문성이 없을 때는 중앙에서 관리하는 게 좋다. 학교의 (보안) 시스템 구성을 하나의 잣대로 판단할 수 없다"며 "가장 중요한 것은 대학본부의 보안에 대한 의지"라고 말했다.

seungjun241@news1.kr