하버드·펜실베니아대 100만 개 개인정보 유출, 대학도 안전하지 않다
해킹그룹 ShinyHunters가 하버드대와 펜실베니아대에서 각각 100만 개 이상의 개인정보를 탈취해 공개했다. 사회공학 기법으로 뚫린 대학 보안의 허점을 분석한다.
100만 개. 하버드대학교와 펜실베니아대학교에서 각각 유출된 개인정보의 규모다. 해킹그룹 ShinyHunters가 지난해 두 명문대를 해킹한 뒤, 몸값을 받지 못하자 이 데이터를 모두 공개해버렸다.
명문대도 뚫렸다, 사회공학의 위력
펜실베니아대는 지난 11월 "개발 및 동문 활동 관련 특정 정보시스템"이 해킹당했다고 발표했다. 해커들은 공식 대학 이메일 주소로 동문들에게 해킹 사실을 알리는 이메일까지 보냈다. 대학 측은 이를 '사회공학 공격'의 결과라고 밝혔다.
하버드대 역시 비슷한 시기에 음성 피싱 공격을 당했다고 발표했다. 해커가 전화를 걸어 직원을 속여 링크를 클릭하게 만든 것이다. 유출된 정보에는 이메일 주소, 전화번호, 주소, 행사 참석 내역, 기부 세부사항 등이 포함됐다.
TechCrunch가 확인한 바에 따르면, 공개된 데이터는 실제로 두 대학이 언급한 정보 유형과 일치한다. 해커들은 대학이 몸값 지불을 거부했기 때문에 데이터를 공개했다고 밝혔다.
교육기관이 노리는 이유
왜 해커들은 대학을 노릴까? 대학은 보안에 상대적으로 취약하면서도 가치 있는 데이터를 대량 보유하고 있다. 특히 동문 정보는 금융 상황, 연락처, 직업 정보까지 포함해 신원 도용이나 표적 공격에 악용될 수 있다.
흥미롭게도 펜실베니아대 해킹 당시 해커들은 "우리는 유산, 기부자, 그리고 자격 없는 적극적 우대정책 입학생들을 사랑하기 때문에 바보들을 고용하고 입학시킨다"는 정치적 메시지를 담은 이메일을 보냈다. ShinyHunters는 정치적 동기로 알려진 그룹이 아니어서 이런 메시지를 포함한 이유는 불분명하다.
한국 대학들도 안전할까
국내 주요 대학들도 비슷한 위험에 노출돼 있다. 서울대, 연세대, 고려대 등은 수십만 명의 동문 정보를 보유하고 있으며, 이들 중 상당수가 정치·경제계 주요 인사들이다. 만약 이런 정보가 유출된다면 파급효과는 미국보다 클 수도 있다.
한국의 대학들은 대부분 개인정보보호법에 따라 보안 조치를 취하고 있지만, 사회공학 공격까지 완벽히 막기는 어렵다. 특히 코로나19 이후 원격근무가 늘어나면서 보안 취약점이 증가했다는 전문가들의 지적도 있다.
기자
관련 기사
영국 비자 신청 대행 사이트 'UK Visa Portal'에서 10만 건 이상의 여권 사진과 셀피가 외부에 노출됐다. 피해자들은 공식 정부 사이트로 착각하고 개인정보를 제출했다.
주당 3억 2500만 번 다운로드되는 오픈소스 프레임워크 Starlette에서 치명적 보안 취약점이 발견됐다. MCP 서버를 통해 AI 에이전트가 보관 중인 자격증명과 민감 데이터가 무방비 상태로 노출될 수 있다.
GitHub 내부 코드 저장소 3,800개가 해킹됐다. VS Code 확장 프로그램을 통한 공급망 공격의 실체와, 개발자 생태계 전반이 새로운 표적이 된 이유를 분석한다.
Dirty Frag' 취약점이 리눅스 전 배포판에서 루트 권한 탈취를 허용한다. 익스플로잇 코드가 공개된 지 3일, 마이크로소프트는 이미 실제 공격 시도를 포착했다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요