은행계좌·사회보장번호까지...25년간 입학기록 등 데이터 유출
핵티비스트 “‘소수자 우대 금지’ 판결 준수 확인 목적”...NYU·미네소타대 공격 전력
콜롬비아대, 2년 간 무료 신용 모니터링 제공 방침
[보안뉴스 여이레 기자] 미국 콜롬비아대학교가 해킹 공격을 받아 86만8969명에 달하는 학생, 지원자, 교직원 등의 개인 정보가 유출된 것으로 확인됐다.
[자료: gettyimagesbank]
콜롬비아대는 아직 정확한 유출 규모를 파악하지 못한 상태나, 해커는 460GB에 달하는 데이터를 탈취했다고 주장하고 있다.
이번 공격은 정치적 목적을 가진 핵티비스트(hacktivist)에 의해 벌어졌다. 이 해커는 “콜럼비아대학교가 2023년 대법원 ‘소수자 우대(affirmative action) 금지’ 판결을 준수하고 있는지 확인하기 위해 해킹을 감행했다”며 “대학들이 계속해서 흑인과 라티노 학생을 입학시켜 판결을 준수하지 않고 있다는 것을 증명하려 한다”고 밝혔다.
이 해커는 같은 목적으로 뉴욕대학교와 미네소타대학교 시스템에도 침입한 전력이 있는 것으로 알려졌다.
앞서 미국 법원은 대학이 입학 과정에서 지원자의 인종이나 민족을 고려 요소로 사용하는 소수자 우대 조치를 금지하는 판결을 내린 바 있다. 이 판결을 놓고 인종 중립적 입학 과정이라는 찬성 입장과 다양성 감소 우려라는 반대 입장이 공존하고 있다.
해커가 공개한 유출 데이터에는 은행 계좌, 학자금 대출 및 장학금 지급 정보, 표준화 시험 점수, 학점 평균(GPA), 수업 일정, 집 주소 및 기타 연락처 정보가 포함됐다.
또 수십 년 간 25만명 이상의 지원자 입학 기록, 35만명 이상의 학생 및 교직원 학적 정보, 사회보장번호, 여권 스캔, 시민권 상태, 징계 기록, 재정 지원 데이터, 대학 급여 파일 등 매우 민감한 개인정보가 포함돼 있는 것으로 나타났다.
이번 공격은 최근 보안 표준에 맞게 업데이트되지 않은 컬럼비아대의 구식 단일 사인온(SSO) 플랫폼 소프트웨어의 취약점으로 인해 가능했다. 공격자는 이 취약점을 악용해 시스템 전체로 횡적 이동해 고가치 데이터셋에 접근했다.
콜롬비아 대학교는 해킹 피해 예상 개인들에게 우편 통지를 시작했으며 2년간 신용 모니터링, 사기 상담, 신원 도용 서비스를 제공할 방침이다.
한편 보안 전문가들은 해당 데이터가 당장 악용되지 않더라도 장기적으로 절도, 신원 도용, 스토킹 등 악의적 목적으로 사용될 수 있다고 경고했다.
레이첼 토백 소셜프루프시큐리티 CEO는 “범인의 동기가 무엇이든 개인이 데이터 유출에 연루되면 심각한 우려가 생긴다”며 “신용을 동결(Credit Freeze)하고, 모든 연락 수단에서 발생할 수 있는 맞춤형 피싱 공격에 주의해야 한다”고 말했다.
[여이레 기자(gore@boannews.com)]
핵티비스트 “‘소수자 우대 금지’ 판결 준수 확인 목적”...NYU·미네소타대 공격 전력
콜롬비아대, 2년 간 무료 신용 모니터링 제공 방침
[보안뉴스 여이레 기자] 미국 콜롬비아대학교가 해킹 공격을 받아 86만8969명에 달하는 학생, 지원자, 교직원 등의 개인 정보가 유출된 것으로 확인됐다.
[자료: gettyimagesbank]
콜롬비아대는 아직 정확한 유출 규모를 파악하지 못한 상태나, 해커는 460GB에 달하는 데이터를 탈취했다고 주장하고 있다.
이번 공격은 정치적 목적을 가진 핵티비스트(hacktivist)에 의해 벌어졌다. 이 해커는 “콜럼비아대학교가 2023년 대법원 ‘소수자 우대(affirmative action) 금지’ 판결을 준수하고 있는지 확인하기 위해 해킹을 감행했다”며 “대학들이 계속해서 흑인과 라티노 학생을 입학시켜 판결을 준수하지 않고 있다는 것을 증명하려 한다”고 밝혔다.
이 해커는 같은 목적으로 뉴욕대학교와 미네소타대학교 시스템에도 침입한 전력이 있는 것으로 알려졌다.
앞서 미국 법원은 대학이 입학 과정에서 지원자의 인종이나 민족을 고려 요소로 사용하는 소수자 우대 조치를 금지하는 판결을 내린 바 있다. 이 판결을 놓고 인종 중립적 입학 과정이라는 찬성 입장과 다양성 감소 우려라는 반대 입장이 공존하고 있다.
해커가 공개한 유출 데이터에는 은행 계좌, 학자금 대출 및 장학금 지급 정보, 표준화 시험 점수, 학점 평균(GPA), 수업 일정, 집 주소 및 기타 연락처 정보가 포함됐다.
또 수십 년 간 25만명 이상의 지원자 입학 기록, 35만명 이상의 학생 및 교직원 학적 정보, 사회보장번호, 여권 스캔, 시민권 상태, 징계 기록, 재정 지원 데이터, 대학 급여 파일 등 매우 민감한 개인정보가 포함돼 있는 것으로 나타났다.
이번 공격은 최근 보안 표준에 맞게 업데이트되지 않은 컬럼비아대의 구식 단일 사인온(SSO) 플랫폼 소프트웨어의 취약점으로 인해 가능했다. 공격자는 이 취약점을 악용해 시스템 전체로 횡적 이동해 고가치 데이터셋에 접근했다.
콜롬비아 대학교는 해킹 피해 예상 개인들에게 우편 통지를 시작했으며 2년간 신용 모니터링, 사기 상담, 신원 도용 서비스를 제공할 방침이다.
한편 보안 전문가들은 해당 데이터가 당장 악용되지 않더라도 장기적으로 절도, 신원 도용, 스토킹 등 악의적 목적으로 사용될 수 있다고 경고했다.
레이첼 토백 소셜프루프시큐리티 CEO는 “범인의 동기가 무엇이든 개인이 데이터 유출에 연루되면 심각한 우려가 생긴다”며 “신용을 동결(Credit Freeze)하고, 모든 연락 수단에서 발생할 수 있는 맞춤형 피싱 공격에 주의해야 한다”고 말했다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
