Breaking
사이버 보안(Cybersecurity)
50개 대학 동시 해킹? 英 보안업체 영국 대학 보안 취약 지적
2019-07-01 13:38:20
조현
▲영국에서 불과 2시간 이내에 50개 넘는 대학이 해킹당하는 피해가 발생했다(사진=ⓒ셔터스톡)

[라이헨바흐=조현 기자] 영국 소재의 50개 이상 대학들이 해킹 피해를 입었다. 

불과 2시간 만에 50여 개의 대학이 보안 침해를 겪은 것이다. 다행히 해커는 시스템에 침입하기만 했을 뿐 정보를 훔쳐 가지는 않았다. 

이것이 '테스트'였기 때문이다.

이 보안 위반 사건은 영국의 대학 및 연구 기관에 인터넷 서비스를 제공하는 회사인 지스크에 의해 수행된 것이다. 

이번 해킹은 윤리적인 해킹 테스트로 대학의 컴퓨터 시스템이 얼마나 안전한지 알아보기 위한 행위였다.

그러나 결과는 충격적이었다. '해킹 테스트' 였기에 다행이지 실제 해킹이었다면 2시간 만에 50여 개 대학의 정보가 모조리 빠져나갈 참이었다. 

지스크가 해킹에 성공한 시스템으로는 학생과 직원들의 개인 정보가 담긴 데이터베이스 등이 있었다.

그뿐 아니라 지스크는 학교의 금융 시스템, 교수와 학생들의 연구 자료 베이스에도 액세스할 수 있었다.

스피어 피싱

해킹 테스트 결과 영국 대학들은 민감한 정보를 저장한 시스템을 안전하게 보호하지 못하고 있었다. 

이 테스트 해킹이 100% 성공한 이유는 지스크가 사용한 스피어 피싱 때문이었다.

스피어 피싱은 대학 및 연구 기관이 직면한 수많은 공격 중 하나다. 이는 일반적으로 민감한 정보를 요청 및 열람할 수 있는 권한을 지닌 특정 직위의 누군가를 사칭해 개인 및 그룹의 개인 정보를 빼내는 기술이다. 

공격자는 자신의 신원을 숨기고 접근해 높은 직위를 가진 사람인 척하며 개인 정보를 훔친다.

 

스피어 피싱 공격자는 주로 전자 메일을 사용한다. 실질적으로 다른 사람을 위장하거나 전화를 통해 목소리를 위조하기는 힘들지만, 메일 주소를 훔쳐 해당 인물인 것처럼 위장하기는 쉽기 때문이다. 

또한 전자 메일을 사용하면 민감한 데이터를 대상자에게 직접 묻는 대신 컴퓨터를 감염시킬 수 있는 악의적인 링크나 첨부 파일을 보내기 쉽다. 대상자가 이메일을 열면 해커는 핵심 시스템에 침투할 수 있다.

지스크 연구진은 'CEO 사기' 사례를 스피어 피싱 공격으로 꼽았다. 

회사의 CEO를 사칭한 해커가 재무 부서 등의 직원에게 긴급한 요청 사항이 있다며 전자 메일을 보내는 방법이다.

이런 공격 방식은 당하는 사람이 행위자를 추정하기 어려워서 성공률이 높은 편이다. 이번 영국 대학을 대상으로 한 해킹 테스트에서도 스피어 피싱 방식은 100% 성공했다. 

지스크 연구진은 대학의 고위 간부를 사칭하며 전자 메일을 보냈고 대상자는 모두 속아 넘어갔다.

▲이것은 심각한 문제다. 학교들이 모든 민감한 정보를 적절하게 보호하려면 보안 수준을 단기간에 높여야 한다(사진=ⓒ픽사베이)

지스크의 보안 운영 센터 책임자인 존 챔프먼은 "영국의 모든 대학에 적절한 사이버 보안 지식, 기술 및 투자가 갖춰져 있다고 확신하지 못한다. 사이버 공격은 점점 더 정교해지고 있으며, 대학은 끊임없이 진화하는 위협에 대응할 여력이 없다"고 말했다.

학교의 태만

학교를 비롯해 교육 부문과 관련된 다른 모든 시설은 일반적으로 사이버 보안 수준이 낮아서 해커들의 표적이 되기 쉽다.

BBC에 따르면 IT 보안 전문 업체 사이랜스의 보안 책임자인 안톤 그래션 박사는 "대학들이 보안 침해의 증가로 고통받고 있다는 사실은 놀라운 일이 아니다. 학교 측은 대체로 사이버 보안 분야에 매우 적은 예산을 배치한다"고 지적했다.

영국 회계법인 UHY해커영에 따르면 영국 정보위원회(ICO)의 조사 결과 2016~2017년 사이에 발생한 데이터 유출 사례는 700건으로, 전년도의 674건보다 높다. 

같은 해 영국 내 대학에서 발생한 데이터 유출 사례는 1,150건에 달한다. 이런 사이버 공격의 대부분은 대학의 재무 데이터나 지적 재산을 노렸다.

지스크는 상황의 중대함을 파악하고 교육 기관 및 연구 센터가 데이터를 안전하게 보호해야 한다는 경각심을 높이기 위해 윤리적인 해킹 테스트를 진행했다.

워릭대학의 사이버 보안 담당자인 카스텐 메이플은 "지적 재산을 만들기 위해서는 수년간의 노하우와 수많은 비용이 필요하다. 영국의 많은 대학이 독자적인 연구를 수행하고 있다. 해커들은 이런 데이터를 훔쳐 다른 국가에 제공할 수 있다"고 말했다.

 

스피어 피싱 대응

대학 측은 "윤리적 해커의 스피어 피싱 공격이 성공한 이유는 그것이 스피어 피싱이었기 때문이다"라고 말했다. 

스피어 피싱은 보안 수준을 높인다고 해서 당하지 않는 공격 방식이 아니라는 것이다. 어쨌든 대학이 시스템의 디지털 방어 수준을 높여야 한다는 것은 여전히 권장된다.

스피어 피싱 공격은 대부분 사람의 허점이나 실수를 노린 것이다. 따라서 이런 공격에 적절하게 대응하기 위해서는 모든 직원과 관계자들이 위협 요소에 대해 미리 파악하고 경계하도록 충분한 교육을 제공해야 한다.

[라이헨바흐=조현 기자]