최근 현대캐피탈 서버가 크래킹 당해 고객 175만 명의 개인정보가 유출 되었다. 국내 3대 포털인 SK커뮤니케이션즈의 싸이월드ㆍ네이트에서는 3천 500만건의 개인정보가 유출되기도 했다. 최근 들어 크래킹 사고가 많이 일어나는 현상에 대해 고려대학교 임종인 교수(이하 임 교수)는 “정보가 돈이 되는 사회가 되었기 때문”이라고 말한다. 그는 “크래커들이 기업에서 개인정보를 훔쳐 다른 사람들에게 팔고 있다”며 “타겟 마케팅을 위해 개인정보를 수집하는 기업도 문제”라고 전했다. ‘크래커cracker’는 다른 사람의 컴퓨터시스템에 무단으로 침입하여 정보를 훔치거나 프로그램을 훼손하는 등 불법행위를 하는 사람을 의미한다. 컴퓨터 프로그래밍에 뛰어난 기술자로서 네트워크의 보안을 지키는 사람인 해커hacker와는 구분되는 개념이다.
최근 사립대학의 전산망도 크래커들에게 무방비 상태로 노출되고 있다. 얼마 전, 서강대학교에서는 도서관검색 웹서버에 크래커가 침입하여 미국 정부를 비방하는 내용의 글이 게재됐고, 지난해 10월 말에는 한 취업준비생이 자신이 졸업한 서울 D대학 전산망을 수개월간 크래킹 해 자신을 비롯한 후배의 성적을 조작한 사건이 일어났다. 또 같은 해 11월 말에는 홍익대학교 입시사이트가 크래커의 공격을 받기도 했다. 이처럼 대학가의 전산망 보안은 사이버 공격에 취약한 상황이다.
대학 전산망, 인력과 예산 부족해
서강대학교 전산담당자는 “학내에서 바이러스가 전산망을 통해 학내에 계속 유입되고 있다”며 “학내에서 학생들이 개인 노트북과 USB, 학내 컴퓨터 등 다양한 기기를 통해 네트워크를 이용하다 보니, 제한된 인력과 예산으로 전산망을 관리하는데 한계가 있다”고 말했다. 홍익대학교 전산 담당자는 “학교 측에서 보안에 관한 투자를 하고 있지만 전문 인력과 예산이 부족하다”며 “정부에서의 지원도 많이 부족하다”고 밝혔다. 동국대학교 전산담당자 역시 대학의 특성상 보안관리가 힘들다고 말한다. 그는 “기업체는 외부의 정보를 유입할 때 따로 보안점검과정을 거치지만, 대학은 따로 보안점검과정이 없어 정보를 안전하게 관리하기가 어렵다”며 “단과대학 홈페이지부터 학과 홈페이지까지 규모가 워낙 크고 다양해서 관리하지 못하는 서버가 많다”고 말했다. 더불어 그는 “대학이 IT보안에 대해 투자를 잘 하지 않는 것은 사실”이라며 “정부도 대학 스스로 관리하라는 언급만 하고, 인력이나 장비의 지원은 일절 하지 않는다”고 덧붙였다. 고려대학교 전산담당자도 “대학은 개별 홈페이지만 해도 800개가 넘는다”며 “운영체제(OSOperating System)도 종류별로 다양해서 그에 대한 크래킹의 공격을 막기가 벅차다”고 밝혔다. 한편, 우리대학 자연캠 전산정보원 강문석 계장은 “우리대학도 인력이 부족한 편”이라며 “제한된 예산을 갖고 운영하다보니 전산망 보안을 완벽히 관리하는데 한계가 있다”고 전했다.
각 대학교 총학생회장들은 학교당국이 보안시스템에 투자를 하지 않거나, 제대로 관리하지 않는다고 지적한다. 서강대학교 김준한(컴퓨터공학 07) 총학생회장은 “2007년도에 학교 측이 60억 원을 들여 전산시스템을 구축했는데도 보안이 부실하다는 것은 문제가 있다”며 “보안시스템을 철저히 해야 한다”고 말했다. 더불어 한양대학교 정현호(경영학 07) 총학생회장도 “학내 전산망은 학생들의 정보가 담겨 있어 중요하기 때문에 학교 측이 책임지고 관리해야 한다”며 “학교 겉모습에만 투자하기 보다는 전산망 보안과 같이 보이지 않는 곳도 투자해야 한다”고 전했다. 우리대학 김하나(아동 08) 학우는 “대학 전산망이 크래킹 당한다면 개인정보가 유출될 염려가 크다”며 “학적 사항까지 포함되기 때문에 일반 포털 사이트의 정보 유출보다 심각하다고 생각한다”고 말했다.
이렇듯 상황이 심각한데도 대학의 보안 문제를 관리ㆍ감독해야 할 교육과학기술부는 뒷짐 지고 있는 상태다. 매년 일부 대학의 정보보안 체계를 점검하고 있지만, 형식적인 수준에 그치고 있으며, 교육과학기술부 산하 한국교육학술정보원 내 교육사이버안전센터의 보안 관리대상에는 불과 50여 곳의 대학만 포함되어 있다. 더불어 서울의 주요 사립대학은 단 한군데도 관리 대상에 포함되어 있지 않다. 특히 10개 국ㆍ공립대학은 지난해 교육과학기술부의 지원을 받아 DDoS(분산서비스거부) 공격에 대한 보안 장비를 도입했지만 대부분의 사립대학교는 예산상의 어려움으로 DDoS 공격에 대비하지 못하고 있다. 그래서 국ㆍ공립대학 보다 사립대학이 크래커의 사이버 공격에 더욱 취약한 실정이다. 이에 대해 교육과학기술부 정보보호팀 이용해 팀장(이하 이 팀장)은 “제한된 예산으로 국내 대학 보안의 전체적 인프라는 지원할 수 없다”며 “사립대학 같은 경우는 대학이 보안에 신경 쓸 수 있도록 유도하고 있고, 국ㆍ공립대학은 일부 보안장비만 지원하고 있다”고 말했다. 더불어 이 팀장은 “대학이 스스로 전산망 보안에 투자해야 한다”고 덧붙였다.
학교 측은 투자, 구성원들은 보안인식 제고해야
실제로 한국인터넷진흥원(KISAKorea Internet & Security Agency) 통계에 따르면 지난해 국내 대학 도메인 1천 643개 중 598개 도메인이 사이버 공격을 당했다. 이에 비해 기업 도메인 55만 5천 423개 중 크래킹을 당한 기업 도메인 비율은 0.75%(4천 186개)로 1%도 채 안 된다. 즉, 기업에 비해 대학 전산망의 보안이 취약한 상태인 것이다. 또 지난해 상반기 대학가 전산망 크래킹 건수는 272건에서 지난해 하반기 326건으로 19.9% 증가했다.
대학 전산망의 보안이 취약한 상황에 대해 임 교수는 “학생ㆍ교직원 등 학내 구성원들은 학내 정보자산을 지키려는 노력이 많이 부족하다”고 지적한다. 임 교수는 학교 측의 보안 인식에 대해 “기업은 정보로 돈을 벌기 때문에 보안 관리에 적극적으로 투자하지만 대학은 그렇지 않다”며 “기업보다 보안 인식 수준이 낮아 전산망에 많이 투자하지 않는 상황”이라고 말했다.
또한 그는 학생들의 보안인식 수준도 매우 낮다고 말한다. 임 교수는 “전산망이 부실한 것도 문제이긴 하지만, 더욱 큰 문제는 내부 통제에 있다”며 “학생들이 안전하지 않은 포털 사이트에서 불법 자료를 다운받고, 컴퓨터에 바이러스를 감염시키기 때문”이라고 밝혔다. 한양대학교 전산담당자도 “장비와 예산보다도 가장 개선하기 어려운 것은 크래킹에 대한 학생들의 안일한 인식”이라며 “크래킹이나 개인정보유출에 대해 주의사항을 공지하더라도 잘 따르지 않는다”고 말했다. 이에 대해 임 교수는 “학교 측은 전산망 보안에 대해 충분히 투자해야 하고, 학생들의 인식 제고를 위한 사이버 보안과 관련된 교육도 지속적으로 실시해야 한다”고 말했다.
필자: 최홍 기자 g2430@mju.ac.kr
