10년 전 누군가 서버 내 데이터베이스에 침투해 개인정보 훔쳐
너무 오래 전 일이라 공격자의 수법과 정체 파악은 불가능

[보안뉴스 문가용 기자] 예일대학교가 십년 전에 발생한 데이터 침해 사고를 발표했다. 해커들이 예일대학교의 데이터베이스 한 곳에 침투해 약 11만 9천 명의 개인정보에 접근했다는 내용으로, 침투 시기는 2008~2009년이었다고 한다.


예일의 발표에 따르면 침입은 2008년 4월과 2009년 1월에 발생했다. 이로 인해 영향을 받은 건 예일의 한 서버에 있는 데이터베이스 한 개다. 그런데 이 사건을 예일 측에서 파악한 건 2018년 6월 16일이었다. 보안 점검을 하던 와중이었다고 한다.

공격자들이 데이터베이스에서 빼간 건 사회보장번호와 생년월일이었다. 예일 이메일 주소 역시 상당 수 빠져나갔으며, 일부 피해자는 대학교에 등록할 때 제공한 주소도 빼앗겼다. 중요한 개인정보들이었다.

예일에 의하면 금융 정보는 해당 데이터베이스에 저장되어 있지 않았으며, 피해자들은 대부분 예일 계열사 관련자들이었다고 한다.

“2011년 예일의 IT 팀은 예일 서버 내에 저장되어 있는 불필요한 개인정보를 대대적으로 정리하고 삭제했습니다. 그러나 당시 침투 사실을 확인할 수는 없었습니다.” 예일의 발표 내용이다.

지난 주 예일대학은 피해자들에게 개별적으로 연락을 취해 이와 같은 사실을 알렸다. 대부분 계열사 관계자라고는 했지만 졸업생, 교수진, 교직원들도 일부 포함되어 있었다. 대학은 피해자의 97%에 연락을 취했지만 나머지 3%의 경우 연락처를 파악 중에 있다고 했다.

또한 예일은 뉴햄프셔 주 검사에게 서신을 보내 침해 사실을 알렸다. 여기에 한 가지 내용이 추가됐는데, 2016년 3월과 2018년 6월 사이에 같은 서버가 두 번째로 침해당했다는 것이었다. 이 두 번째 해킹을 통해 공격자는 33명의 이름과 사회보장번호를 훔쳐가는 데 성공했다. 다만 33명 중 뉴햄프셔 주민은 한 명도 없었다.

예일은 “유출된 정보가 남용된 사례는 아직 발견되지 않았다”고 주장하고 있다. 그렇지만 피해자 전원에게 아이덴티티 모니터링 서비스를 무료로 제공하겠다고 발표했다. 피해가 추가로 발생하는 걸 막거나 최대한 빨리 파악할 수 있게 하기 위해서다.

이 해킹 사건은 10년 전에 발생한 것이라 해커들이 어떤 방법을 사용했는지는 더 이상 파악하는 게 불가능하다. 예일 역시 이 점에 대해 언급했다. “지금 시점에서 해커의 정체와 해킹 수법을 파악한다는 건 불가능합니다.”

3줄 요약
1. 세계 최고 대학 중 하나 예일, 해킹 사고 10년 동안 몰랐다.
2. 해커는 2016년 3월과 2018년 6월에 두 번째로 침투했다.
3. 10년이나 지났기 때문에 사건을 파헤치는 건 불가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>