[인더스트리뉴스 김기찬 기자] 선문대학교의 데이터를 탈취했다는 랜섬웨어(Ransomware) 공격 집단의 주장이 나와 주목된다. 

30일 보안 전문가에 따르면 랜섬웨어 공격 집단 'Nova'는 전날 자신들의 다크웹(특수한 경로로만 접속 가능한 웹)에 선문대학교의 정보를 탈취했다는 게시물을 올렸다. 

이와 함께 Nova는 '열흘'이라는 기간 동안 타이머를 맞춰둔 것으로 파악되고 있다. 일반적으로 랜섬웨어 공격 집단이 데이터를 탈취해 암호화한 후 데이터 암호화를 풀어주는 조건으로 공격 대상에 대해 금전을 요구하는 관행에 비춰볼때 해당 해커가 선문대학교의 데이터를 암호화하고 선문대 측에 금전 등을 요구하고 있는 것으로 관측된다. 해커가 제시한 기간내에 금전을 지불하지 않을 경우 데이터를 공개하겠다는 일종의 '협박'인 셈이다.

보안 전문가를 통해 해당 다크웹에 접속한 결과 Nova는 선문대학교의 간단한 소개와 함께 △PDF, SQL 파일 △문서 △계획 △보고서 △데이터 베이스 등을 탈취했다는 주장을 펴고 있는 것으로 확인됐다.

이들 해커는 선문대학교의 포털 소스코드와 학생들의 정보까지 갖고 있다면서 샘플 데이터를 공개하기도 했다.

이들이 공개한 샘플 데이터는 Nova가 공격한 서버의 관리자 대시보드와 암호화된 문서 파일 등이었다. 자신들이 해킹에 성공했다는 증거를 제시한 것으로 보인다. 

다만 Nova 측이 탈취한 세부 정보들이 밝혀지지 않아 어떤 방식으로 선문대학교의 데이터를 탈취했는지는 불확실하다. 하지만 문제는 해커가 선문대 학생들의 정보를 갖고 있다고 주장하고 있는 만큼 데이터가 다크웹 등을 통해 유포될 경우 개인정보 유출로 인한 각종 피해가 불가피하다는 점이다. 

선문대 측은 지난해 8월에도 개발·운영을 위탁한 외부 업체가 시스템 업데이트 과정에서 9700여명의 이름 일부와 함께 학년, 학과, 전화번호 등이 유출되는 사고가 발생한 바 있다.

한편 안랩 등에 따르면 Nova는 랜섬웨어 집단 RALord가 새로 만든 브랜드다. 서비스형 랜섬웨어(RaaS) 공격 집단으로, 새로운 제휴 패널인 Nova를 도입해 운영 방식을 고도화한 것으로 전해졌다.

기존에는 사우디아라비아 등 중동지역을 대상으로 주로 공격했으나, 교육 기관 등을 대상으로 한 공격도 서슴지 않았던 만큼 선문대학교도 공격 대상에 포함됐던 것으로 보인다. 

선문대는 공격 당한 서버가 외부 서버이기 때문에 개인정보 유출 등의 피해는 없다는 입장이다. 선문대 측은 본지와의 통화에서 "해당 서버는 외부 접근용 가상화 서비스용 서버로, 개인정보 저장 기능이 없어 학생들의 정보를 탈취했다는 해커의 주장은 신빙성이 없다"며 "서버 포맷 및 재설치를 포함한 시스템 초기화 등 보안 강화 조치에 들어갔다"고 설명했다.

김기찬 기자 다른기사 보기