펜실베이니아 대학교 해킹 사건: 120만 명 개인 정보 유출, 취약한 보안 시스템의 경고

최근 펜실베이니아 대학교(University of Pennsylvania, 이하 펜)에서 발생한 대규모 해킹 사건은 대학의 허술한 보안 시스템과 개인 정보 보호의 중요성을 다시 한번 일깨워주는 사례입니다. 해커들은 탈취한 SSO(Single Sign-On) 자격 증명을 통해 대학 시스템에 침입, 120만 명에 달하는 학생, 졸업생, 기부자의 개인 정보를 빼돌렸습니다.

해킹 공격 과정 및 피해 규모

해커들은 펜 직원의 PennKey SSO 계정을 탈취하여 VPN, Salesforce 데이터, Qlik 분석 플랫폼, SAP 비즈니스 인텔리전스 시스템, SharePoint 파일 등 다양한 시스템에 접근했습니다. 이를 통해 이름, 생년월일, 주소, 전화번호, 추정 순자산, 기부 내역, 인종, 종교, 성적 지향 등 민감한 개인 정보를 대량으로 유출했습니다.

공격 후 대학의 대응과 논란

해킹 후 해커들은 약 70만 명에게 공격적인 내용의 이메일을 발송했습니다. 해당 이메일에는 대학의 보안 시스템을 비판하고, 입학 정책을 비난하는 내용이 담겨 있었습니다. 펜 대학은 초기에는 해당 이메일을 "명백히 가짜"라고 일축했지만, 이후 해킹 피해 사실을 인정하고 조사에 착수했습니다.

취약한 MFA(Multi-Factor Authentication) 정책

이번 해킹 사건의 주요 원인 중 하나는 펜 대학의 취약한 MFA 정책입니다. 대부분의 직원은 MFA를 사용해야 하지만, 일부 고위 간부들은 사회 공학적 기법을 이용한 공격에 취약한 MFA 면제 대상이었습니다. 해커들은 바로 이 점을 파고들어 공격에 성공했습니다. TechCrunch에 따르면 사회 공학적 기법을 통해 고위 간부의 계정을 탈취한 것으로 알려졌습니다.

사회 공학적 기법의 위험성

사회 공학적 기법은 사람의 심리적 취약점을 이용하여 개인 정보를 탈취하거나 시스템에 접근하는 공격 방법입니다. 이번 사건에서도 해커들은 사회 공학적 기법을 통해 MFA를 우회하고, 고위 간부의 계정을 탈취하는 데 성공했습니다. 이는 아무리 강력한 기술적 보안 시스템을 구축하더라도, 사람의 부주의나 실수로 인해 보안이 무너질 수 있다는 점을 시사합니다.

데이터 유출 이후의 위험

유출된 개인 정보는 피싱, 스미싱, 금융 사기 등 다양한 범죄에 악용될 수 있습니다. 특히 이름, 주소, 연락처와 같은 정보는 더욱 정교한 사회 공학적 공격에 활용될 가능성이 높습니다. 따라서 펜 대학은 개인 정보 유출 피해자들에게 주의를 당부하고, 관련 피해를 예방하기 위한 조치를 안내해야 합니다.

보안 강화의 중요성

이번 펜실베니아 대학교 해킹 사건은 모든 기관과 기업에게 보안 강화의 중요성을 강조합니다. 특히 SSO 시스템과 MFA 정책을 강화하고, 직원들에게 보안 교육을 실시하여 사회 공학적 공격에 대한 경각심을 높여야 합니다. 또한, 시스템에 대한 지속적인 모니터링과 취약점 점검을 통해 잠재적인 위협을 사전에 차단해야 합니다.

맺음말

펜실베니아 대학교 해킹 사건은 개인 정보 보호와 보안 시스템 강화의 중요성을 다시 한번 강조하는 사례입니다. 이번 사건을 계기로 모든 기관과 기업은 보안 시스템을 재점검하고, 더욱 강력한 보안 체계를 구축해야 합니다. 또한, 개인 사용자 역시 개인 정보 보호에 대한 경각심을 높이고, 보안 수칙을 준수해야 합니다.