전북대 통합정보시스템 '오아시스'가 해킹 공격을 받아 재학생은 물론 졸업생과 평생교육원 회원의 정보가 털렸다. 유출된 개인정보는 32만2425명 것으로 이름, 주민등록번호, 전화번호, 이메일, 학사정보 등이다. 재학생과 졸업생은 74개 항목, 평생교육원 회원은 29개 항목에 대한 정보가 유출됐다. 대학측은 13시간이 지나 해킹 시도를 인지했으며 공격 IP(홍콩, 일본)와 불법 접속 경로를 차단했다. 그러나 이미 털린 개인정보는 전화 금융사기와 같은 각종 범죄에 악용될 수 있어 2차 피해가 우려된다.
전북대의 이번 정보유출은 모든 정보가 통째로 털렸고, 지난달 교육부의 정보보호수준 진단에서 '우수' 등급을 받았다는 점에서 충격적이다. 국립대 등 공공기관의 개인정보 보호가 얼마나 허술한지를 보여주는 단적인 예다. 총장을 비롯해 담당자 등에 대한 책임을 엄중히 물어야 한다. 또한 피해자에 대한 충분한 보상 및 배상이 있어야 할 것이다.
정보보호는 사이버 공격과 수비 간의 끝없는 싸움이다. 더욱이 인공지능, 메타버스같은 신기술의 등장으로 사이버 공격 면적이 확대되는 추세다. 특히 인터넷 강국인 우리나라는 글로벌 사이버보안지수 4위 국가인 동시에 사이버 공격을 5번째로 많이 당하는 나라다. 화이트해커(해커 방지 전문가)를 육성하고 있으나 뛰는 놈 위에 나는 놈이 있듯 해커 기술은 날로 발전하고 있다. 대학의 경우 2021년에 경북대 재학생 2명이 경북대와 숙명여대 등 5개 대학 10개 공공기관에서 81만명의 개인정보 217만여건을 유출한 바 있다. 이로 인해 유출학생은 징역 1년6개월에 집행유예 3년형을 선고 받았고 개인정보가 털린 대학은 과징금 등 1억2080만원이 부과되었다. 또 올들어 일부 대학에서 학생 성적표, 교직원 증명사진, 내부 결재 서류 등이 무더기로 유출됐다.
문제는 이들 정보유출로 인한 2차 피해다. 한번 털린 개인정보는 다시 주워담을 수 없고 피해는 오랫동안 눈덩이처럼 불어날 수 있다. 온라인 사기쇼핑, 명의도용을 통한 통신서비스 가입 및 신용카드 복제, 스미싱 등 금전적 피해뿐 아니라 보이스피싱, 온라인회원 가입, 휴대전화나 이메일 스팸, 악성코드 유포메일 발송 등 비금전적 피해까지 폭 넓다. 전북대와 수사당국은 2차 피해 최소화 등 구체적 방안을 내놓아야 할 것이다.