팬데믹이 시작되면서 학교의 현장에서는 IT 기술의 도입이 빨라졌다. 그러면서 보안 위협도 크게 늘어났다. 은행 털던 해커들이 굳이 돈도 없는 학교에 쳐들어갈 리 없다고 여겨지는가? 사정은 전혀 다르다.

[보안뉴스 문정후 기자] 팬데믹이 시작한 때부터 지금까지 학교와 교육 기간을 겨냥한 사이버 공격자들의 악성 행위는 빠르게 증가하는 중이다. 버지니아 주의 학교 보안 비영리 단체인 K12 보안 정보 거래소(K12 Security Information Exchange)가 조사한 바에 따르면 2016년부터 미국 내 공립 학교들이 겪었던 사이버 보안 사건은 총 1200건이 넘는다고 한다. 랜섬웨어, 사이버 스토킹, 성적 시스템 침해 등 그 종류도 다양하다.


팬데믹이 시작되면서 학생, 교사, 학부모 모두 IT 기술에 크게 의존하게 되었다. 가상 수업을 실시하고 있기 때문이다. IT 기술이 있어 교사는 강의를 할 수 있고, 학생은 수업을 들을 수 있다. 학교는 IT 기술로 시험도 치르게 하고, 채점도 해 성적 기록을 보관하기도 한다. 이런 데이터들은 굉장히 민감할 수 있으며, 따라서 피해자를 매우 곤란한 상황에 직면하게 할 수 있다. 따라서 교육 기관들은 보안을 강화해야만 한다.

공립 학교들의 경우 예산이 그리 넉넉하지 않다는 것은 잘 알려진 사실이다. 수많은 교육 기관들 역시 사이버 보안 솔루션을 ‘풀세트’로 맞추거나, 전문 보안 전담 인원을 뽑기에는 부담스러울 수 있는 예산 규모를 가지고 있다. 하지만 그럼에도 할 수 있는 것들이 있고, 적어도 학교에서 발급한 장비와 솔루션들을 안전하게 지키는 일을 소홀히 하면 안 된다. 학교를 보호하려면 제일 먼저 공격자들이 왜, 그리고 어떻게 학교를 공격하는지를 이해해야 한다.

왜 학교를 해킹하는가?
정부 기관을 공격하고, 은행을 공격하고, 기업을 공격하는 것에는 일리가 있다. 거기에는 값비싼 정보들이 가득하기 때문에 공격자들이 얻어갈 것이 많다. 하지만 예산도 부족하고 귀중한 정보도 그리 많지 않은 공립 학교를 해킹한다고 했을 때, 우리는 고개를 갸웃거리게 된다. 사실 공격자들이 훔치려 하는 건 단지 돈이나 기밀만이 아니기 때문이다.

일단 학교들에는 수많은 데이터가 쌓여 있다. 원격 수업으로 전환한 뒤에는 더 많은 데이터가 축적되고 있다. 지난 3년 동안 각 학교들은 원격 수업을 위해 수많은 장비들을 구입하고 학생들에게 나눠줬다. 또한 각종 모바일 핫스팟 장비들도 제공했다. 학생이나 교직원들은 각자의 집에서 이런 장비들을 사용해 학교 시스템에 접속했고, 학교는 이러한 사람들을 위해 더 많은 프로그램과 앱들을 준비했다. 이것만으로 일단 해커들의 진입 경로가 풍부해졌다.

게다가 학교 측은 제대로 된 규정을 미처 다 마련하지는 못했다. 그래서 학생들은 학교 장비들을 가지고 위험한 사이트에 거리낌없이 접속하기 시작했다. 공격자들에게 수많은 대문들을 활짝 연 것이나 다름이 없다. 비록 학교에 거대한 금고가 숨겨져 있는 건 아니지만, 이렇게까지 문이 활짝 열려 있다면 공격자들이 진입하지 않을 이유가 없다. 열려 있는 곳을 통해 들어가 각종 데이터를 일단 훔치기 시작했는데, 훔치고 보니 각 학생과 교사들의 사회 보장 번호 등과 같은 민감한 자료들이 가득하다는 걸 알게 됐다. 

재미있는 건 해커들도 공립 학교의 고질적인 예산 부족 문제를 잘 이해하고 있는 것처럼 보인다는 것이다. 예산이 부족하다는 건 보안이 허술하다는 뜻이다. 그래서 해커들은 매우 대담한 공격들을 실시한다. 쉬운 표적이라는 거다. 이는 고등 교육 기관들에도 나타나는 문제다. 대학의 경우, 일반 공립 고등학교나 다를 바 없이 해킹하기 쉬운데, 학생들로부터 어마어마한 등록금까지 받고 있는 경우가 많아 해커들이 좋아한다. 그래서 일반 공립 학교의 경우와 달리 대학 웹사이트를 변조시켜놓고 협박해 돈을 뜯어내는 유형의 공격이 대학가에서는 종종 발견된다.

게다가 학교들은 오래된 시설일 때가 많다. 그래서 오래된 장비들과 기술들이 여전히 곳곳에서 발견된다. 여기에 더해 수많은 교육 분야 종사자들(교사, 학생, 교직원 등)이 각자의 장비를 수도 없이 가지고 학교 네트워크 안에 들어와 연결시키곤 하는데, 이 역시 적잖은 문제의 근원이 된다. 보안 장치 없이 임의대로 연결된 장비들은 각종 버그와 데이터 침해 사고의 통로가 되기 때문이다.

어떻게 학교를 해킹하는가?
K12 보안 정보 거래소의 국장인 더글라스 레빈(Douglas Levin)은 학교를 공략하는 전략에는 크게 4가지가 있다고 말한다. “1번은 랜섬웨어, 2번은 디도스 공격입니다. 공격자는 이 두 가지 공격 전략을 통해 교육 서비스를 중단시킬 수 있습니다. 그 다음 3번은 보다 전통적인 기법의 서비스 마비 공격(DoS)인 줌바밍(zoombombing)입니다. 줌의 가상 회의 세션에 몰래 들어가 테러 행위를 하는 것으로 팬데믹 초기에 자주 나타났던 패턴이죠. 4번은 피싱 공격입니다. 이를 통해 공격자들은 각종 데이터와 개인정보를 훔쳐갈 수 있게 됩니다.”

그렇다면 학교들은 어떻게 스스로를 보호해야 할까? 다음 몇 가지 절차들이 권고된다.

1) 주기적인 사이버 보안 훈련과 교육을 통해 보안 인식을 높인다. 교육 시설들과 기관에는 여러 층위의 사용자들이 있고, 각기 다른 종류의 위협을 맞닥뜨린다. 따라서 모든 사람이 보안에 참여해야만 보안이 강화된다. 

2) 보안 실천 사항을 철저하게 지킴으로써 보안 위생 수준을 높인다. 소프트웨어 업데이트를 주기적으로 한다든가, 파일을 주기적으로 백업한다든가, 중복 파일을 삭제하고 필요 없는 앱을 찾아 그 때 그 때 언인스톨 하는 것 등을 포함한다.

3) 학교 소유 자산들의 전수 점검을 주기적으로 진행한다. 그러면서 그러한 장비들이 어떤 식으로 연결되어 있고, 어떤 장비나 소프트웨어가 새롭게 추가됐는지 확인한다. 그리고 그런 변화들이 안전한지, 현재 상태의 안전 또한 보장이 되고 있는지도 확인한다.

4) 네트워크 트래픽을 모니터링하고 인터넷 트래픽 역시 면밀하게 조사한다. 특히 학교에서 제공한 장비를 가지고 인터넷 접속을 자유롭게 하도록 그냥 두어서는 안 된다. 인터넷 접속에 제한을 두는 것을 표준으로 삼아야 한다.

5) 학교 네트워크 내에 승인되지 않은 장비들이 자유롭게 접속하도록 두어서는 안 된다. 이는 엔드포인트 보호 솔루션을 학교가 승인한 장비에만 설치함으로써 간단하게 해결할 수 있다. IT 관리자만이 추가 장비를 네트워크에 포함시킬 수 있도록 하는 것이 좋다.

6) 사이버 보안 정책을 누구나 쉽게 열람하고 읽을 수 있도록 한다. 모든 규정을 한 번에 다 이해하고 암기할 수 있는 사람은 없다. 대부분의 ‘내부자 위협’은 기억하지 못하거나 깜빡 잊는 데서부터 출발한다. 학생들과 학부모, 심지어 교사들도 아리송한 경우 금방 규정들을 찾아볼 수 있어야 한다.

교육 기관과 학교들을 겨냥한 사이버 공격이 증가하고 있다는 건 부인할 수 없는 사실이다. 하지만 사이버 보안 훈련과 교육을 통해 큰 효과를 거둘 수 있는 것 역시 이 교육 분야의 조직들이다. 좀 더 능동적인 자세로 공격에 대비함으로써  해커들을 좌절시킬 필요가 있다.

글 : 마이클 커빙턴(Michael Covington), 부회장, Jamf
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>