On-Air
고전적이라는 '파라미터 변조'..왜 못 막나?
2024-08-06 1117
허현호기자
  heohyeonho@gmail.com

[전주MBC 자료사진]

[선명한 화질 : 상단 클릭 > 품질 720p 선택]

◀ 앵 커 ▶

전북대에서 개교 이래 77년간 학교를 다녀간 32만 명의 개인정보가 유출돼 파장이 적지 않습니다. 


'파라미터 변조'라는, 업계에서는 고전적인 수법으로 해킹을 당한 것으로 알려졌는데요, 


다른 대학 5곳에서도 개인정보가 비슷한 수법으로 유출된 적이 있어 보안 정책 강화가 시급한 과제입니다. 


허현호 기자입니다.


◀ 리포트 ▶

10개월 전 동영상 스트리밍 사이트에 올라온 모의 해킹 시연 영상,


대학 학사정보 시스템에서 2010학번인 한 남학생의 인적 사항을 입력해 '비밀번호 재설정'을 위한 창을 띄웁니다.


웹 개발자 도구를 열어 코드 사이에 있는 남학생의 학번을, 다른 2012학번 여학생의 학번으로 바꿔 넣습니다.


비밀번호 변경 뒤 로그인하자 학적 기록란에 여학생의 주민등록번호 일부와 주소, 계좌번호 등 모든 개인정보가 출력됩니다.


학번만 알면, 해당 대학의 모든 학생들의 개인 정보를 확인할 수 있게 된 겁니다.


이른바 '파라미터 변조' 방식의 해킹입니다. 


이번 전북대 32만 명 개인정보 유출 사건에서도 이와 비슷한 수법이 활용됐습니다.


가입자의 ID를 대량으로 확보한 뒤, 이를 또다른 시스템 취약점에서 변조할 매개변수로 활용해 개인정보를 유출한 것으로 추정됩니다.


[김순태 / 전북대 정보혁신처장]

"시스템 안쪽에 들어온 게 아니라 일반적인 웹 브라우저, 웹이면 사실 공개가 많이 돼 있는 부분인데, 그걸 통해서 지금 (공격이) 온 거고요."


비전문가의 입장에서도 이해하기에 크게 어렵지 않아 보이는 해킹 방식, 그만큼 빈번하게 활용되는 수법입니다. 


불과 2년 전에도 경북대 재학생 2명이 5개 대학에서 개인정보 81만 건을 유출한 적이 있습니다. 


정보 유출을 막지 못한 이들 대학은 최대 5천여만 원에 달하는 과징금을 물기도 했습니다.


8년 전 주민번호 대체 수단으로 정부가 권장한 '아이핀' 해킹 사건의 경우에도 파라미터 위변조 수법이 활용됐습니다.


[김승주 / 고려대 정보보호대학원 교수]

"굉장히 많이 당하는 공격인데, 아주 꼼꼼히 신경써서 막고 이러기가 그렇게 쉽지는 않아요. 지금 잘 막았는데 홈페이지는 또 빈번하게 자꾸자꾸 수정이 가해지잖아요."


분명 예견 가능했던 공격, 


32만여 명의 방대한 개인정보를 관리하는 전북대는 이같은 해킹 시도를 막아내지 못했습니다.


경찰은 공격에 활용된 해외 IP를 특정해 우회 여부 등을 확인하고 국제 공조 수사를 벌이는 한편,


전북대의 개인정보보호법 위반 사항 등에 대해서도 살펴보겠다는 계획입니다.


다만 내부자가 해킹에 적극 관여한 수준이 아니라면 형사 처벌이 아닌 과태료 부과 사안이라고 선을 그었습니다.


MBC 뉴스, 허현호입니다.


영상취재: 진성민

영상출처: YouTube '@-glorytogod31'

목록