최근 여러 언론을 통해 널리 보도된 대규모 사이버 공격 모두 주요 기반시설과 소프트웨어 프로그램 공급사 등 기업과 단체에 피해를 주었다. 그러나 기관뿐만 아니라 개인도 사이버 공격 위험에 언제든지 노출될 수 있다. 이제는 아동의 개인 정보도 사이버 공격 위험으로부터 안전하지 않다.
미국 매체 NBC 뉴스가 여러 학교를 겨냥한 사이버 공격 소식을 입수하면서 아동의 개인 데이터까지 유출된 사실을 확인했다.
NBC 뉴스는 사이버 보안 기업 엠시소프트(Emsisoft)의 애널리스트 브렛 칼로우(Brett Callow)를 인용, 올해만 랜섬웨어 조직이 미국 전역의 학교를 상대로 사이버 공격을 개시하고, 학생 1,200명의 데이터를 다크웹에 공개한 사실을 보도했다.
지금까지 해커가 손에 넣은 아동 데이터는 의료 기록이나 가정의 재정적 상태 등 개인적인 정보와 사회 보장번호, 생년월일, 기타 개인 식별 정보 등이다.
공교육 현장의 사이버 보안에 중점을 두는 비영리 단체 K12 시큐리티 인포메이션 익스체인지(K12 Security Information Exchange)의 더그 레빈(Doug Levin) 총괄은 공교육 시스템의 학생 개인 데이터 보호 준비 수준이 낮아 조직화된 해킹 범죄 조직 상당수의 공격 대상으로 노출되기 쉽다는 점에서 앞으로도 문제가 더 심각해질 것이라며 우려를 제기한다.
사실, 학교를 겨냥한 랜섬웨어는 이전부터 꾸준히 사이버 범죄 조직의 표적이 되었다. 주로 많은 학생의 데이터를 보관한다는 점이 한 가지 주된 원인이다. 사이버 공격이 이전부터 공교육 현장에 큰 피해를 주었으며, 앞으로도 잠재적인 피해가 매우 심각한 상황이다. 최근 들어 해커 집단이 해킹으로 손에 넣은 피해자의 개인 정보를 다크웹에서 거래하는 사례가 증가한 사실을 고려하면, 이를 예방하기 위한 보안 대책이 매우 시급한 상황이다.
그러나 정작 공교육 현장은 해커의 학생 정보 해킹 이후 대응 방식과 관련된 확실한 법적 의무 규정을 단 한 차례도 둔 적이 없었다.
더 심각한 점은 학교 시스템을 노린 랜섬에어 공격이 발생하면, 학교 기관 자체도 공격을 받은 데이터에 보관된 파일 정보를 전부 알지 못한다는 점이다. 해커가 탈취한 정보의 종류를 제대로 파악하지 못하니 공격 발생 이후 피해 규모를 예측하는 것이 사실상 불가능하다고 볼 수밖에 없다.
일례로 지난 6월, 미국 댈러스주의 랭카스터 독립 학군(Lancaster Independent School District)의 시스템이 랜섬웨어 공격을 당한 사례를 볼 수 있다. 각각의 학교는 랜섬웨어 공격 사실을 학부모에게 즉시 알렸다. 그러나 랭카스터 독립 학군의 최고 커뮤니케이션 관리자인 킴벌리 심슨(Kimberly Simpson)은 "랜섬웨어 공격 이후 직원이나 학생 정보 유출 등 심각한 피해가 발생했는지 알 수 없다"라고 밝혔다.
일부 학교 기관은 외부 단체에 학생 데이터 관리를 맡긴다. 그러나 외부 기관에 데이터 관리 위탁을 해도 사이버 공격 위험에 노출되는 것은 똑같다. 지난 5월, 오하이오주 북서부 지역의 어느 한 직업 학교의 학생 데이터를 관리하는 기업인 아폴로 커리어 센터(Apollo Career Center)는 학생 출입 카드를 포함한 학생 정보가 대거 유출되는 피해를 보았다.
그렇다면, 학교 시스템을 겨냥한 아동 데이터 유출이 발생하는 이유는 무엇일까?
레빈 총괄은 대다수 학생이 랜섬웨어 세력의 요구에 따라 데이터 해제 비용을 충분히 건넬 수 있는 돈이 없다는 점을 지적한다. 이어, 그는 "학교 시스템을 통한 아동 데이터 유출은 피해 아동의 가정 정보 보안 위협으로도 이어진다"라며, 공교육 현장의 시스템 보호 중요성을 강조했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
