160만여명 개인정보 유출
직능연 “피해 확산 제한적”
인텔브로커 측 “크랙 쉬워”
직능연 보안 관심 부족 지적
CISO 의무화 등 개선 필요
교육부가 위탁 운영한 진로정보 사이트에서 160만여명의 개인정보가 유출된 것으로 확인돼 2차 피해가 우려되고 있다. 유출된 정보가 암호화됐다고 하지만 이를 쉽게 해제(크랙)할 수 있는 것으로 나타났다.
진로정보망 커리어넷을 운영하는 한국직업능력연구원(직능연)은 23일 오후 사과문을 통해 “해외 해커 집단으로부터 공격을 받아 2018년 4월 이전 커리어넷 회원정보 160만2908건이 해킹된 사실을 지난 20일 인지했다”며 “진심으로 사과드린다”고 밝혔다.
직능연이 사과문을 올린 것은 악명 높은 해킹조직 '인텔브로커(Intelbroker)'가 지난 15일 커리어넷 사이트를 해킹했다며 개인정보 샘플을 공개하고 판매글을 올린 지 8일 만이다. 커리어넷은 교육부가 직능연에 위탁해 운영하는 종합 진로정보망으로, 주회원이 학생과 학부모, 교사 등이다. 〈본지 8월20일자 1면 참조〉
직능연은 “이번 사안의 심각성을 엄중하게 인식하고 있다”며 “피해원인에 대한 면밀한 분석과 보안교육, 시스템 강화 및 취약점 점검 등 재발방지 대책을 철저히 마련하겠다”고 덧붙였다.
다만 개인정보 유출에 따른 피해 확산은 제한적일 것이라고 내다봤다.
직능연은 “유출된 회원정보 중 아이디를 제외한 주요 정보(이름 또는 별명, 비밀번호, 생년월일 등)는 국가정보원 검증 암호모듈로 암호화해 복호화가 불가하다”면서 “그외 정보는 개인 식별이 어려운 일반 정보로 판단된다”고 설명했다.
그러나 직능연 주장과 달리 암호를 쉽게 해제할 수 있는 것으로 파악됐다.
본지가 인텔브로커에 직접 메일을 보내 탈취한 자료의 크랙 여부를 문의한 결과, “크랙이 어렵지 않다”며 암호를 푼 샘플을 보냈다. 국내 보안 전문가들도 인텔브로커가 공개한 자료를 가지고 쉽게 크랙할 수 있는 것으로 확인됐다.
한 보안전문가는 “대개 암호화 알고리즘에 솔트(Salt·랜덤값)를 더해 보안성을 강화한다”면서 “커리어넷은 일반적인 암호화 알고리즘 'SHA-256'을 사용했고 솔트를 적용하진 않은 것으로 보인다”고 말했다.
이어 “한국인터넷진흥원(KISA) 등도 추가적으로 솔트를 적용하지 않은 경우 패스워드 암호화를 제대로 하지 않은 것으로 간주한다”며 “해커가 자동화 프로그램을 통해 탈취한 자료 대부분을 손쉽게 크랙할 수 있을 것”이라고 덧붙였다.
인텔브로커가 제시한 커리어넷 자료의 판매가격은 2만달러(약 2600만원)로, 다크코인 모네로(XMR)로 거래하자고 요구했다. 160만명의 개인정보가 포함된 점을 감안하면 1건당 16원정도다.
직능연의 개인정보 보호에 대한 관심 부족도 도마 위에 올랐다. 경영지원본부장이 개인정보보호책임자(CPO)를, 지식정보팀 인력이 개인정보보호 담당자를 맡는 등 보안 전문성이 떨어진다는 지적이다. 홈페이지 유지·관리와 회원 데이터베이스(DB) 관리도 민간기업에 맡겨 운영하고 있다.
또 다른 보안 전문가는 “개인정보 처리를 외부 민간기업에 위탁한 경우에도 관리 책임이 따른다”면서 “공공기관에서 정보보호 사고가 잇따라 발생하는 만큼 최고정보보호책임자(CISO) 의무화 등 제도 개선이 필요하다”고 강조했다.
조재학 기자 2jh@etnews.com