피해자 대상 전용 상담 전화번호 및 이메일 안내...피해 관련 문의 대응 창구 마련
[보안뉴스 김영명 기자] 한국직업능력교육원(ktechedu, 이하 K테크에듀)은 9월 9일 홈페이지 공지를 띄우며 개인정보 유출과 관련된 사실에 대해 사과의 뜻을 밝혔다. K테크에듀 측은 이번 사고로 이름, 휴대전화번호, 생년월일(일부), 주소(일부) 등 4개 항목이 유출됐다고 밝혔다.
▲한국직업능력교육원은 최근 홈페이지 공지를 띄우며 개인정보 유출과 관련된 사실에 대해 사과했다[이미지=한국직업능력교육원 홈페이지]
사과문에 따르면 K테크에듀 측은 이번 개인정보 유출 사고를 지난 8월 22일 무렵에 인지했다. 사과문에서는 “8월 22일경 불법적인 해킹으로 추정되는 공격자에 의한 개인정보 유출이 발생한 것을 인지해 즉각 대응했다”며 “홈페이지 취약점 점검 및 보완조치를 수행하고 관계부처에 신고 및 협력을 통해 추가적인 문제가 발생하지 않도록 적극적인 대응조치를 취하고 있다”고 밝혔다.
K테크에듀 측은 “이번 사고로 불법적인 보이스피싱 및 스팸메시지 등 2차 피해가 발생하지 않도록 주의해 주기를 당부드리며, 특히 검증되지 않은 URL에 대한 접속은 삼가하기 바란다”고 밝혔다. 이어 “향후 이와 같은 사건이 발생하지 않도록 정보보호조치를 강화하고 교직원 모두가 개인정보보호에 더욱 만전을 기할 것임을 약속드린다”고 밝혔다.
이 회사는 이번 사고와 관련해 문의할 사항이나 개인정보 악용으로 의심되는 연락을 받는 등 피해가 발생할 경우에 대비해 전용 상담 전화번호와 이메일을 안내했다.
한편 K테크에듀는 홈페이지 소개에 따르면 1999년 열린직업전문학교로 설립돼 25년의 역사를 이어오고 있다. 캠퍼스(교육원)는 시흥, 안산, 군포(안양), 인천 등 네 군데에 지점을 두고 있으며, 전체 교직원 수는 80여명에 이르는 것으로 파악된다.
이번 사고와 관련해 익스플로잇랩스 윤영 대표는 “결국 해킹으로 인한 개인정보 유출에 대한 완벽한 대응책이 없다는 것이 근본적인 문제”라며 “이번 사고를 살펴봤을 때 SQL 인젝션을 통해 사고가 발생한 것으로 보인다”고 말했다. 이어 “텔레그램에 유출된 데이터가 해킹을 통해 유출된 경우라면 상황이 심각하지만 일반 구글링을 통해 쉽게 얻을 수 있는 것들, 퍼블릭한 정보가 나간 것이면 이것도 보안이 취약한 것으로 봐야 하느냐에 대해서는 논란의 여지가 있다”며 “최근 기업들의 대응태세를 보면 일단 유출 사고가 났다고 하면 진위 여부부터 파악하고는 한다”고 설명했다.
윤 대표는 “기업 입장에서는 유출 사고 소식을 접했을 때 일단 거부감을 느끼는 것보다는 적극적으로 대응할 필요가 있다”며 “외국에서는 해킹 사고가 발생했을 때 피해 기업은 사고가 모두 수습되면 해당 사고와 관련해 해킹 발생 원인을 비롯해 어떻게 공격을 받았는지, 어떻게 대처했는지 등을 일목요연하게 정리해 백서를 만들어 공개하기도 한다”고 설명했다.
이어 “기업은 우선 사건사고에 대해 전향적인 자세를 갖는 것이 필요하다”며 “사실상 해당 기업도 피해자인데, 피해자를 무조건 비판하는 것도 좋지 않은 모습인 만큼 기업의 대응방법과 함께 사회의 인식도 변화될 필요가 있다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>