원시적인 해킹에 구멍 '뻥'...경북대 "이게 뭡니까"

학생 2명이 외부 계정 탈취해 내부망 접속
재학생 졸업생 이름 사진 등 12개 개인정보 유출
2018학년도 수시지원 4만6,000명도 6개 정보 유출
대학 유출 10일후 인지, 한 달 지나 학생에 공지

경북대 본관 전경. 경북대 제공.jpg

원시적인 해킹에 경북대 재학생과 수시지원자 수만 명의 전화번호 등 개인정보가 무더기로 유출됐다. 대학 측은 유출 10일이 지난 후에야 이를 인지했고, 한 달이 지나서야 학생들에게 유출 사실을 공지하는 등 늑장대응으로 일관해 비난을 사고 있다.

23일 경북대 등에 따르면 한달 전인 지난달 23일 경북대 학생 2명이 외부기관의 계정을 탈취한 후 대학 내부망에 접속해 개인정보를 빼돌렸다. 유출된 개인정보 중에는 지난 2017년 모집한 2018학년도 경북대 수시모집 지원자 4만6,000여 명의 수험번호와 전형 학과, 주민번호, 고교명, 졸업연도 6가지 항목도 포함됐다. 당시 3,217명을 뽑는 수시모집 결과 경쟁률 14.5대 1을 기록했다.

재학생 등은 학번과 이름 소속 성별 직전학교명 보호자주소 보호자연락처 주소 전화번호 이메일 사진 생년월일까지 12가지 항목이 유출된 것으로 파악됐다. 특히 당시 수시합격자 3,000여 명은 주민번호와 전화번호를 포함해 모두 16개 개인정보가 유출돼 불안감이 커지고 있다.

경북대의 늑장대응도 문제다. 경북대가 비정상적 접속을 파악한 것은 사건 발생 11일 후인 지난 3일 정기점검을 통해서였다. 대학 측은 확인 5일 후인 지난 8일 경찰에 수사를 의뢰한데다 같은달 21일 홈페이지에 유출사실을 공지하고, 22일에야 학생들에게 문자메시지를 발송했다.

재학생들은 학교 측의 늑장대응을 질타하고 나섰다. 이 대학 강사빈(21·미술학2)씨는 "비정상접속을 인지한 시점이 늦었고, 유출 확인 3주 후에야 안내 문자를 보내고 공지하는 행태를 받아들일 수 없다"며 "유출경위를 밝히지 않은 것도 이해할 수 없다"고 지적했다.

경북대는 이를 인정하면서도 개인정보 2차 유출 여부를 확인하는 등 사태 진정이 우선이라는 입장이다. 수시지원자들에 대해서도 이메일을 취합해 공지할 계획이다.

경북대 관계자는 "2018년 수시지원자 정보와 학생들의 정보는 별개로 취급돼 특정인의 데이터를 결합하는 것이 쉽지 않을 것"이라며 "접속 기록을 확인하고 방대한 자료를 검증하느라 시간이 걸렸다"고 해명했다.

한편 대구 북부경찰서는 경북대 내부망에서 개인정보를 빼돌린 혐의(정보통신망이용 촉진 및 정보보호등에 관한 법률 위반)로 대학생 2명을 입건했다. 이 사건은 현재 대구경찰청 사이버범죄수사대가 이관받아 경북대에 특정일의 IP접속 기록 등 로그파일을 요청해 분석하는 등 수사 중이다.

경찰 관계자는 "경북대가 경찰에 자료를 제출하는 방식으로 수사를 진행 중"이라며 "개인정보가 제3자에게 유출됐는 지 피해여부를 파악하고 있다"고 말했다.

류수현 기자 yvr@hankookilbo.com