수면위로 떠오른 UNIST(유니스트) '해킹 사건'

'룸메이트 바꾸려고' 전산망 뚫어···2013년부터 총 4건

유니스트 보안 정보 둔감 '지적'

지난 2014년 3월 유니스트 해킹동아리가 학교전산망에 침입, 자신들의 해커 모집광고를 종합전산망 홈피에 게재해 놓은 배너 모습.

아주경제 울산 정하균 기자 = 미래창조과학부 산하 이공계 연구중심대학인 UNIST(울산과학기술원)의 학부 학생 2명이 생활관(기숙사) 전산시스템에 무단 접속해(해킹) 벌점 등을 임의로 조작한 사실이 알려졌다.

이런 초보적인 해킹 기술에도 학내 전산망이 허술하게 뚫리고 있음에도 불구하고 유니스트는 아무런 대책을 마련하고 있지 않아 사이버보안 불감증이 심각하다는 지적이다.

29일 유니스트 등에 따르면 이 대학은 지난달 룸메이트를 바꾸려고 기숙사 전산망을 해킹한 재학생 2명에 대해 1학기 유기정학 처분을 내렸다.

일반 기업이 기숙사 서버를 운영하고 있고, 보안사고의 등급이 있는데 이번 상황은 어떤 피해가 발생한 케이스가 아니고 해킹한 것 자체가 인터넷진흥원에 보고해야 하는 급한 상황은 아니었다는 게 대학 측의 입장이다.

문제는 이 같은 해킹이 올해만 있었던 것이 아니다.

유니스트 학내 전산망이 해킹된 것은 지난 2013년 1건, 2014년 2건에 이어 이번이 벌써 네 번째다.

첫 번째 사건은 지난 2013년 6월께 재학생 1명이 기숙사 입실 신청에서 불합격된 친구 3명을 위해 생활관 운영 전산망을 해킹, 이들을 임의로 합격처리한 뒤 가장 좋은 방을 배정하는 '특혜'를 제공했다가 적발됐다. 당시 해당 학생은 겨우 '근신' 처분만 받았다.

두 번째 사건은 화이트해킹(보안전문) 동아리가 2014년 3월 학교 정보시스템에 침입해 웹페이지 코드를 변조한 뒤 마치 자신들의 해킹 능력을 과시라도 하듯 메인화면에 광고 배너를 게시했다.

당시 이 사건은 학내에 큰 파장을 불러일으켰으나, 학교 측은 무마하기에 급급해 이들 동아리에 대해 '구두경고' 조치만 내린 것으로 확인됐다.

같은 해 2월엔 대학에 불만을 품은 직원이 학내 전산망을 침입, 내부 인사관련 보안문서를 유출한 사실이 뒤늦게 대학에 발각돼 검찰의 조사 끝에 2015년 6월께 벌금형을 받기도 했다.

이 같은 해킹 사건 이외에도 재학생들이 다른 학생의 아이디를 도용, 수강신청을 대신해 주는 등 사이버 보안사고가 잊어질 만하면 되풀이되고 있다.

유니스트 전산망의 이처럼 허술한 보안 시스템은 학교 측의 부실한 대응으로 화를 더욱 키울 수 있다는 우려를 낳고 있다.

국가 과학기술 발전을 위한 싱크탱크 역할을 수행하고 있는 유니스트는 정부출연기관으로 막대한 연구자료와 시설물, 연구진들의 갖가지 정보를 전산망에 보관하고 있다.

하지만 유니스트는 그룹웨어와 포털, 이메일, 업무용컴퓨터, 와이파이의 비밀번호를 모두 똑같이 통일되도록 적용하는 등 보안 정보에 극히 둔감하다는 게 학내 관계자의 전언이다.

익명을 요구한 학내 관계자는 "현재 와이파이 비밀번호 한 개라도 사고로 노출되면 교내 전자문서, 이메일, 연구실 컴퓨터 하드디스크까지도 다 뚫려버리는 구조"라며 "연구성과가 너무나 쉽게 유출될 수 있는 이해할 수 없는 보안 체계"라고 지적했다.

유니스트의 잇따른 해킹 사고와 관련, 한국인터넷진흥원 관계자는 "유니스트와 같은 과학기술원은 연구자료는 물론 학생들의 신원보호를 위해서도 정보보호관리체계(ISMS) 인증을 받아야 하지만 경비 등을 이유로 인증을 받지 않고 있다"며 "의무 가입 대상은 아니지만 ISMS 인증이 아쉬운 실정"이라고 밝혔다.

이와 관련, 유니스트 관계자는 "ISMS 인증은 수억원의 경비에다 대학과 맞지 않은 점이 많아 받을 계획이 없다"며 "자체적으로 보안 수준을 더욱 높였다"고 해명했다.

이어 "지난 3월 해킹 사고의 경우 학교 전산망이 아니라 기숙사 운영업체의 전산망에 대한 침입이었고, 지난 2014년 해킹동아리 해킹은 화이트해커들이 미리 학교측에 통보하지 않고 전상망에 침입한 사례로서 악의성이 없어 구두경고에 그친 것"이라고 덧붙였다.