본문 바로가기
IT 소식/해킹 & 보안

[해킹] 경북대학교 개인정보 유출

$ecu_Log 2025. 10. 24.
본 블로그는 학습용입니다. 명시적 동의 없는 시스템 접근·정보수집은 불법이며 형사·민사 책임이 따릅니다.
실습은 격리된 테스트 환경에서만 허용됩니다. (형법·정보통신망법·정보통신기반보호법 등)

1. 헤드라인 및 요약

1.1. 주제

경북대학교 2년 연속 대규모 개인정보 유출

 

1.2. 핵심 요약 

사건/기술: 경북대학교에서 2024년(약 5,900명), 2025년(약 7,000명)에 걸쳐 대규모 개인정보 유출 사고가 연달아 발생함

피해/영향: 수천 명의 대학원생 및 학생 정보가 외부 노출 및 유출됨. 2022년에는 70만 건의 개인정보 무단 조회 사고도 있었음

핵심 원인/기술: 시스템 오류, 조교의 이메일 발송 실수 등. 근본적으로는 사이버 위협 증가에도 불구하고 정보보안 예산을 삭감하고, 전담 인력을 3명만 두는 등 안일한 보안의식과 구조적인 보안 체계 부실이 원인으로 지목됨

2. 주요 내용 

2025년 10월 22일 열린 국회 교육위원회 국정감사에서 경북대학교의 심각한 개인정보 관리 부실 실태가 드러났습니다.

국민의힘 김민전 의원의 지적에 따르면, 경북대는 2024년(기사상 지난해) 대학원생 약 5,900명의 개인정보를 이메일 송신 실수로 유출한 데 이어, 2025년(기사상 '올해')에는 시스템 오류로 7,000명 이상의 정보를 노출시켰습니다. 심지어 2022년 말에는 내부 보안동아리 학생이 70만 건의 개인정보를 무단 조회한 대형 사고도 있었습니다.

 

이렇게 잇단 사고가 발생하는 와중에 사이버 공격 시도 급증 추세와는 반대로 정보보안 예산은 2024년 1억 8,900만 원에서 2025년 1억 7,000만 원으로 오히려 삭감되었습니다. 정보보안 인력은 단 3명에 불과한 것으로 밝혀져, 고등교육기관의 정보보호 체계 취약성이 심각한 수준임이 확인되었습니다.

3. 핵심 이슈 및 기술 분석

3.1 사건 전개

  1. 2022년 말: 내부 보안동아리 학생이 학교 시스템을 무단으로 검색하여 약 70만 건의 개인정보를 조회하는 사고 발생. (내부자 위협 및 접근 통제 실패)
  2. 2024년 : 조교가 이메일을 잘못 발송하는 인적 실수(Human Error)로 인해 대학원생 약 5,900명의 개인정보가 외부로 유출됨. (보안 교육 및 내부 통제 실패)
  3. 2025년 : 시스템 자체의 오류로 인해 약 7,000명의 정보가 노출됨. (시스템 개발/검수 단계의 보안 관리 실패)
  4. 2025년 10월 22일: 국정감사에서 이러한 반복적인 사고와 부실한 보안 체계(예산 삭감, 인력 3명)가 공식적으로 지적됨

3.2 사용된 공격 기법

이번 사건은 외부 해커의 고도화된 공격이라기보다는 기본적인 보안 관리가 무너져 발생한 사고의 연속입니다

  • 인적 오류 : 2024년 조교의 이메일 발송 실수가 대표적입니다. 이는 개인정보 취급자에 대한 주기적인 보안 교육과 중요 정보 발송 시의 승인/검토 프로세스가 부재했음을 보여줍니다.
  • 시스템 오류 : 2025년의 정보 노출 원인입니다. 시스템을 설계하거나 패치할 때 보안을 고려하지 않았거나, 변경 사항 배포 전 충분한 테스트를 거치지 않아 발생한 문제입니다
  • 부적절한 접근 통제 : 2022년 70만 건 조회 사고의 원인입니다. 학생이 중요 개인정보에 접근할 수 있었다는 것 자체가 최소 권한의 원칙이 지켜지지 않았음을 의미, 비정상적인 대량 조회를 탐지하는 모니터링 시스템도 작동하지 않았음을 시사합니다

4. 개인적 분석

경북대의 잇따른 정보 유출 사고는 기술적인 문제라기보다 관리적 문제의 실패를 보여줍니다.

 

첫째, 외부의 정교한 해킹이 아닌 내부의 실수와 오류로 수천, 수만 건의 정보가 반복적으로 유출된다는 점이 가장 심각합니다.  보안의 가장 기본이 되는 내부 통제와 교육, 시스템 관리가 완전히 실패했음을 의미합니다

 

둘째, 위협은 증가하는데 예산은 삭감하고 최소 인력(3명)만 유지한 것은, 학교 경영진의 보안 투자 의지가 전무하다는 것을 보여줍니다. 2차 피해는 없었다는 해명은 문제의 본질을 흐리는 것이며 개인정보는 개인의 인격'이라는 지적처럼 정보 주체의 신뢰를 잃은 것이 가장 큰 피해입니다.

 

보안은 비용이 아닌 투자입니다. 특히 수만 명의 민감한 정보를 다루는 대학에서 보안 인력 3명으로 시스템을 방어한다는 것은 사실상 불가능에 가깝습니다.

5. 향후 전망 및 대응 방안

향후 전망: 현재의 구조적 취약성(부족한 인력, 예산, 낮은 보안 의식)이 해결되지 않는 한, 유사한 인적 실수나 시스템 오류로 인한 제4, 제5의 유출 사고는 언제든 재발할 수 있습니다.

 

대응 방안

  1. 보안 인력 및 예산의 즉각적인 확대 (필수): 보안 전담 인력을 현실적인 수준으로 충원하고, 삭감된 예산을 즉시 복원하며 장기적인 투자 계획을 수립해야 합니다.
  2. 전사적인 보안 의식 교육: 모든 교직원과 학생을 대상으로 개인정보 취급 및 보안 교육을 의무화하고 정례화해야 합니다. (인적 실수 방지)
  3. 강화된 내부 통제 및 모니터링: 개인정보 접근 권한을 최소한으로 재설계하고, 중요 정보에 대한 접근 및 대량 조회 시도를 실시간으로 탐지/차단하는 시스템을 도입해야 합니다. (시스템 오류 및 내부자 위협 방지)
  4. 정기적인 보안 감사: 외부 전문 기관을 통한 정기적인 보안 감사 및 모의 해킹을 실시하여, 시스템의 취약점을 사전에 발견하고 개선해야 합니다.

 

참고 

뉴스: https://www.dailysecu.com/news/articleView.html?idxno=201679

저작자표시 비영리 변경금지 (새창열림)

'IT 소식 > 해킹 & 보안' 카테고리의 다른 글

SK쉴더스 해킹 - 자동 로그인이 부른 보안 참사  (0) 2025.10.27
Google Gemini 트리펙타 취약점  (0) 2025.10.02
국가정보자원관리원 화재 사건  (0) 2025.09.29
[해킹] "문자 속 URL 절대 클릭하지 마세요"  (0) 2025.09.21
[해킹] 간편 로그인으로 로그인 했더니 해킹 당하다?  (0) 2025.09.19

'IT 소식/해킹 & 보안' 관련글

티스토리툴바