정용환 기자
악성코드는 시스템으로의 액세스를 강제로 제한하고 몸값을 요구하는 사이버 공격인 랜섬웨어 공격은 정부기관과 IT 기업 뿐 아니라 식품, 의료, 교육 등 생활에 직결되는 조직까지 손을 펼치고 있다. 이런 랜섬웨어 공격 피해를 교육 기관에 초점을 맞추고 있다는 지적이 나온다.
요즘 랜섬웨어 공격은 의료기관이나 석유 파이프라인 등 모든 기관과 조직에 대해 이뤄지고 있으며 피해액은 엄청나다. 미국 정부는 의료기관에 대해 경계 태세를 요구하고 랜섬웨어 공격 대응 우선순위를 테러와 대등하게 올리고 있다. 또 100억 원대 규모 인센티브 프로그램을 실시하고 철저하게 랜섬웨어 공격을 막으려고 시도하고 있다.
하지만 일단 랜섬웨어 공격을 받고 유출된 기밀 정보가 돌아올 일은 없다. 교육기관에 대한 랜섬웨어 공격에 대해 보안 기업 보고서를 바탕으로 미국 내 1,200만 명 분량 데이터가 유출되고 있다고 지적했다. 피해자는 수백만에 달한다고 한다.
유출된 개인 정보는 아이 건강 상태나 주민등록번호, 가족 재정 상황 등 지극히 개인적인 것도 포함되어 있다. 보안업체는 공립학교 시스템은 많은 민간 기업에 비해 데이터 보호 시스템을 갖추고 있지 않다. 전문가에 따르면 학교는 10년 이상에 걸쳐 랜섬웨어 공격 등 해킹 대상이 되고 있다는 것. 학교에서 도난당한 개인 정보는 정리해 해커에 판매되고 있지만 학교 측은 개인 정보를 도난당한 것에 대해 뭘 해야할지를 구체적으로 정해져 있지 않기 때문에 해커가 원하는 대로 할 수 있는 게 현실이다.
개인 정보 유출에 의해 피해를 입은 사례도 존재한다. 오하이오 주 한 부모는 초등학교에서 아들 이름과 사회보장번호가 유출되어 불과 2개월 뒤 누군가가 아들 이름으로 카드 회사와 계약, 자동차 대출을 하려고 했다고 한다.
학교 측도 랜섬웨어 공격에 대책을 강구하고 있지만 완벽하게 막는 건 어려운 게 현실이다. 텍사스 학군에서 4만 8,000명에게 피해가 된 랜섬웨어 공격이 발생했을 때 여러 학교가 FBI 조언에 따라 비상사태에 대비해 보관하고 있던 백업으로 시스템을 복원했다. 하지만 몸값 지불을 딱 잘라 거절한 해커가 훔친 데이터를 인터넷에 공개하고 반년이 지난 지금도 1만 6,000명 학생 개인 정보가 계속 노출되고 있다.
해커는 기회만 있으면 데이터가 뭐든 얻으려는 시도를 한다. 문제는 많은 학교가 저장하고 있는 데이터 내용을 파악하지 않는 경우도 많이 도난당한 데이터를 인식하지 않을 수도 있다. 2020년에는 미국에서 7조 원대 손해가 교육기관에 발생했다는 지적도 있어 학교 측에 새로운 경계와 대책이 요구되고 있다.
학교와 교육 당국은 자녀에 대한 데이터를 많이 저장하는 경향이 있으며 대부분 경우 사이버 보안 전문가와 서비스에 지불하는 돈은 없다. 데이터를 보호하기 위해 부모가 할 수 있는 일은 거의 없으며 계좌 자동 대출을 중단하는 등 위험을 최소화하는 조치를 취해야 한다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
