KAIST 해킹 당한 이유 있었네

KAIST의 전자연구노트시스템이 해킹돼 3만여 명의 개인정보가 유출되는 사고가 발생하면서 과학기술정보통신부 산하 연구기관의 보안 허점을 우려하는 목소리가 커지고 있다.

6일 보안업계에 따르면 KAIST는 과기정통부의 ‘정보보호관리체계(ISMS) 인증’과 교육부의 ‘정보보호 수준 진단’ 양쪽에서 사각지대에 놓여 있는 것으로 드러났다. ISMS는 과기정통부 산하 한국인터넷진흥원(KISA)이 담당하는 보안인증 체계다. 2016년 개정 정보통신망법에 따르면 재학생 1만 명 이상인 대학은 ISMS 인증을 받아야 한다. 중요 연구 자료를 보관하는 각 대학의 정보보호 수준을 높여야 한다는 게 법 개정의 취지다.

그러나 여러 대학이 예산 및 인력 부족으로 인증 획득이 어렵다고 호소하자 정부는 올 2월 교육부의 정보보호 수준 진단에서 ‘우수’ 등급을 받으면 ISMS 인증 의무를 면제하기로 했다. 교육부 진단과 ISMS 인증은 인터넷망과 내부망 분리, 사용자 계정 및 권한 관리, 비밀번호·주민등록번호 암호화 등이 제대로 이뤄졌는지 등을 평가한다.

그러나 KAIST는 이 같은 진단·인증 의무에서 벗어나 있다. 과학기술정보통신부 산하 연구기관으로서 고등교육법 제2조상 ‘대학’이 아니기 때문이다. KAIST뿐만 아니라 GIST(광주과학기술원), DGIST(대구경북과학기술원), UNIST(울산과학기술원) 등 다른 곳도 마찬가지다. 이들 과학기술원은 재학생이 모두 1만 명을 한참 밑돌아 ISMS 적용 대상에서 배제돼 있다.

KAIST 측은 “국가정보원 국가사이버안전센터(NCSC)의 관리 감독을 받기 때문에 더 엄격한 보안 기준이 적용된다”고 해명했다. 그러나 한 보안업체 관계자는 “이번 개인정보 유출 사고는 그동안의 보안 관리가 허술했다는 증거”라며 “여러 연구기관의 보안 수준을 끌어올리는 계기로 삼아야 한다”고 지적했다.

디지털화된 수기 연구자료, 전자문서 등을 저장하는 전자연구노트시스템이 해킹된 것을 두고 주요 연구기밀 유출 우려도 제기된다. 이에 대해 KAIST 측은 “개인정보와 연구 자료는 별개의 스토리지에 저장돼 있다”며 “이번 공격으로 개인정보는 유출되지 않았고, 연구 자료는 식별 불가능하도록 조치해뒀기 때문에 안전하다”고 했다.

최한종 기자 onebell@hankyung.com