지난해 10월말 한 취업준비생이 자신이 졸업한 서울 D대학 전산망을 수개월간 해킹해 자신을 비롯한 후배의 성적을 조작한 사건이 일어났다. 당시 그는 인터넷 카페에서 버프슈트(Burp Suite)라는 패킷(정보조각) 유통량 등을 점검하는 관리자용 프로그램을 무료로 구해 해킹해 이용했다. 이 프로그램으로 아주 쉽게 해킹에 성공해 수개월동안 수시로 성적조작을 할 수 있었다.
또 같은 해 11월말에는 홍익대학교 입시사이트가 해커의 공격을 받았다. 당시 해커는 KBS 예능프로그램에 출연한 홍대 여학생이 키가 180㎝ 이하인 남자는 ‘루저(패배자)’라고 칭한 것에 악의를 품고 입시사이트를 해킹해 관리자 이름으로 엉뚱한 공지사항을 올렸다. 해커는 관리자만 쓸 수 있는 입시 사이트 공지사항에 “180㎝ 이하 루저는 지원하실 수 없습니다”는 내용의 글이 올라와 물의를 빚었다.
이들 사건은 해커가 마음만 먹으면 대학 서버를 쉽게 공격할 수 있을 정도로 대학 보안망이 허술함을 단적으로 보여주는 사례다. 한국인터넷진흥원(KISA)의 통계에 따르면 지난해 국내 대학 도메인(.ac) 1643개 중 598개 도메인이 사이버 공격을 경험했다. 해커가 10개 대학 도메인 중 4개 (36.3%)가량을 사이버 놀이터로 삼은 셈이다. 이에 비해 기업 도메인 55만 5423개 중 해킹을 접한 기업 도메인 비율은 0.75%(4186개)로 1%도 채 안 되는 점을 감안하면 대학 전산망이 큰 허점을 보이고 있는 실정이다.
특히 해커의 대학망 공격은 갈수록 심해지고 있다. 지난해 상반기 대학망 해킹 건수는 272건에서 지난해 하반기 326건으로 19.9% 증가했다. 올 1월 들어서도 대학 전산망 해킹건수는 36건으로 집계되는 등 해커가 끊임없이 노리고 있다.
전문가들은 해커가 대학 전산망을 쉽게 표적으로 삼는 이유는 대학에 전산 전담 관리자의 손이 미치지 않는 개별 PC가 많기 때문이라고 진단했다. 임종인 고려대 교수는 “대학 중앙 전산망은 보안태세를 나름 갖춘 편이지만 학생이나 연구실에서 쓰는 PC가 있는 서버단에서 해킹·악성코드 유포 등의 사이버공격이 발생하고 있다”며 “교내 전산과에서 개별 PC 보안위협까지 예방하고 관리하기에는 역부족”이라고 설명했다.
학생들의 비정상적인 교내 PC 사용 습관도 대학 전산망을 보안 위협에 노출시키는 요소 중 하나다. 각 대학에는 단과대별로 PC실을 운영하는데 많은 학생들이 학교 PC에서 불법 P2P사이트나 게임사이트 등을 이용하면서 악성코드나 바이러스에 감염, 좀비 PC로 변하는 경우가 많기 때문이다.
이처럼 대학 전산망에 곳곳에 허점이 도사리고 있지만 대학 내 보안 관련 전문 인력과 예산은 턱없이 부족한 실정이다. 특히 국·공립대학 보다 사립대학이 사이버 공격에 더욱 취약하다. 10개 국·공립대학은 지난해 교육과학기술부의 지원을 받아 DDoS(분산서비스거부공격)나 보안 장비를 도입했지만 대부분의 사립 대학은 예산 상의 어려움으로 DDoS 공격에 대비하지 못한 상태다.
고려대·한양대·건국대·동국대 등의 전산담당자들은 “보안만 전담하는 인력을 따로 둘 여력은 없고 네트워크나 서버 담당자들이 각 기능에서 보안문제를 챙긴다”고 한결같이 하소연했다. A 대학 전산 담당 관계자는 “보안 예산을 별도 항목으로 두지 않고 정보화 예산에 포함하는 데 보안투자도 전체 예산의 1∼2% 수준이고 이마저도 대부분 IT시스템 구축에 사용하기 때문에 보안 투자가 매우 적다”고 말했다.
한양대학 전산 담당 관계자는 “DDoS 방어 장비와 봇넷 탐지 장비를 얼마 전 구매했는데 대부분의 보안장비가 고가여서 장비 예산을 결제로 올린 이후 책정을 받기까지 너무나 힘들었다”고 토로했다.
예산이 턱없이 부족하다 보니 백신을 비롯한 보안 솔루션에 대한 투자도 소극적일 수밖에 없다. 보안 업체 한 관계자는 “대학들은 가격이 비교적 저렴한 보안 솔루션을 선호하는 경향이 있다”면서 “보안 성능은 조금 떨어지지만 여러 기능을 한 데 모은 통합형 제품으로 쓰는 경우가 많다”고 말했다.
교육과학기술부는 정부 차원에서 지원할 수 있는 부분도 한계가 있다는 입장이다. 이용해 교과부 정보보호팀장은 “사립대학들은 예산을 지원할 수 없어 교과부 보안정책에서 가장 취약한 부분”이라면서 “교육사이버안전센터(ESCS)에 각 대학을 연동해 사이버공격을 관제하고 대학 전산담당자들에 대한 교육을 통해 부족한 보안정책을 보완하고자 한다”고 말했다.
ECSC를 운영하는 한국교육학술정보원(KERIS) 측은 “현재 70여개 대학이 ECSC에 연계돼 원격관제를 하고 있는데. 센터쪽과 연계를 하려면 보안장비를 들여놓아야 한다”면서 “보안 장비 비용문제로 대학들이 적극적으로 나서지 못하고 있다”고 설명했다. KERIS는 올해 ECSC 연계 대학 수를 100여개로 늘리는 등 2010년까지 전국 모든 대학으로 확대해 원격관제를 실시, 교육정보를 보호할 계획이다.
보안 전문가들은 “대학에 중요한 연구자료를 비롯한 개인정보가 상당히 많은데 대학에서 알아서 하도록 방치하다가는 큰 사고가 터질 수 있다”면서 “각 대학 내 정보보호책임자(CISO) 제도를 의무적으로 도입하고, 보안 장비나 솔루션을 들여놓는 등 제도적인 조치가 필요하다”고 지적했다.
장윤정·이경원기자 linda@etnews.co.kr
10개 도메인 중 4개 가량 해킹
관련 통계자료 다운로드 2009년 해킹사고 피해 수치 및 도메인 수