마운트 로열 대학교 랜섬웨어 침해 사고로 학생 및 직원 데이터 유출

캘거리에 있는 마운트 로열 대학교(MRU)에서 발생한 랜섬웨어 공격으로 학생과 직원의 개인 데이터가 유출되면서, 고등 교육 기관이 침해 사실을 어떻게 공개하고 피해자에게 어떤 보호를 제공해야 하는지에 대한 긴급한 의문이 제기되고 있다. 대학 측은 이번 공격으로 대학의 법인 데이터가 탈취되었다고 확인했지만, 학생이 아닌 직원에게만 신용 모니터링을 제공하기로 한 결정은 비판을 받고 있으며, 자신의 정보가 정말 안전한지 의문을 품게 만들고 있다.

이번 사건은 고립된 사례가 아니다. 대학 랜섬웨어 공격과 데이터 유출 패턴은 최근 몇 년간 가장 일관된 사이버 보안 뉴스 중 하나가 되었으며, 고등 교육 기관들은 캠퍼스를 고가치이면서도 종종 방어가 취약한 표적으로 보는 범죄 집단의 끊임없는 압박에 직면해 있다.

대학이 랜섬웨어의 고가치 표적이 되는 이유

대학은 독특한 교차점에 위치해 있다. 민감한 개인 정보, 금융 데이터, 연구 데이터를 대량으로 보유하면서도 접근보다는 개방을 우선시하는 개방적이고 협업적인 네트워크 환경에서 운영된다. 병원이나 은행은 강력한 접근 통제를 정당화할 수 있지만, 대학 캠퍼스는 설계상 개방적일 것이 기대된다.

이런 개방성은 구조적 취약점을 만든다. 학생, 교수진, 계약직원, 방문 연구자 모두 동일한 네트워크에 연결하며, 종종 일관되지 않은 보안 설정이 적용된 개인 기기를 사용한다. 대부분의 고등 교육 기관의 IT 팀은 관리하는 인프라 규모에 비해 인력이 턱없이 부족하다. 게다가 대학은 개인 기록과 함께 지적 재산을 자주 보유하므로, 랜섬웨어 그룹은 두 범주의 데이터를 모두 공개하겠다고 위협하며 자신들의 영향력을 극대화할 수 있다.

공격자에게 있어 재정적 계산은 간단하다. 대학은 운영을 완전히 중단할 가능성이 낮아, 비용을 지불하거나 협상해야 한다는 강력한 압박을 받는다. 또한 민간 기업과 달리, 공개적으로 가시적인 거버넌스 구조, 등록 통계, 자금 출처를 가지고 있어 공격자가 얼마나 압박할지 추정하는 데 도움이 된다.

마운트 로열 대학교에서 유출된 데이터

MRU는 이번 공격으로 대학에 관한 법인 데이터와 함께 학생 및 직원의 개인 정보가 탈취되었다고 확인했다. 정확히 무엇에 접근했는지에 대한 완전한 분석에는 몇 주 또는 몇 달이 걸릴 수 있다고 대학 측은 경고했으며, 이는 랜섬웨어 사고 후 흔히 겪는 답답한 현실이다. 포렌식 조사는 느리고, 공격자가 무엇을 유출했는지에 대한 명확한 기록을 항상 남기지는 않는다.

이미 분명한 것은 MRU의 대응에서 직원 데이터와 학생 데이터가 다르게 취급되었다는 점이다. 대학은 학생이 아닌 직원에게만 신용 모니터링을 제공하면서, 학생 정보는 동일한 재정적 위험 프로필을 지니지 않는다고 주장한다. 이 구분은 면밀히 조사할 가치가 있다.

MRU가 학생 신용 모니터링을 거부한 결정이 경고 신호인 이유

학생 데이터가 직원 데이터보다 위험이 낮다는 MRU의 주장은 침해의 주된 위협이 신용 모니터링이 잡아내도록 설계된 즉각적인 금융 사기라고 가정한다. 그러나 학생 기록에는 일반적으로 이름, 생년월일, 학번, 연락처 정보가 포함되며, 많은 경우 체류 신분, 등록 이력, 납입 기록도 포함된다. 비록 즉각적인 사기 위험이 도난당한 급여 기록과 다르게 보일지라도 이는 신원 도용을 위한 풍부한 데이터 세트다.

신용 모니터링은 분명 완벽한 도구가 아니며, 실제로 어떤 데이터가 탈취되었는지에 따라 그 가치가 달라진다. 하지만 어떤 것이 유출되었는지에 대한 완전한 포렌식 검토가 아직 완료되지 않은 상태에서 학생들을 이 보호에서 제외하기로 한 결정은 중대한 판단이다. 학생들은 일반적으로 더 젊고 신용 이력이 얕을 수 있으며, 신원 도용의 경고 신호를 알아차리는 데 덜 경험했을 수 있다. 또한 몇 달 후 문제가 발생할 경우 대응할 수 있는 기관 자원도 더 적다.

대학은 개인 정보를 맡기는 사람들에게 주의 의무를 진다. 그 의무는 피해 당사자가 고용된 사람이 아니라 등록한 사람이라고 해서 줄어들지 않는다.

학생과 직원이 지금 스스로를 보호하기 위해 취할 수 있는 조치

MRU가 학생들에게 공식적인 보호를 확대하든 그렇지 않든, 이번 침해로 영향을 받은 개인들은 즉시 스스로 조치를 취해야 한다. 기관의 분석이 완료될 때까지 몇 달을 기다리는 것은 실행 가능한 보호 전략이 아니다.

계좌에 비정상적인 활동이 있는지 검토하라. 은행 계좌, 신용카드, 학생 또는 직원 이메일 주소에 연결된 모든 금융 계좌를 확인하라. 은행에서 제공한다면 거래 알림을 설정하라.

대학 계정과 연결된 비밀번호를 변경하라. 서비스 간에 비밀번호를 재사용한다면 그것들도 변경하라. 각 계정에 대해 고유한 자격 증명을 생성하고 저장하려면 비밀번호 관리자를 사용하라.

피싱 시도를 주의하라. 랜섬웨어 그룹은 탈취한 데이터를 판매하거나 사용하여 표적 피싱 이메일을 만들곤 한다. 신뢰할 수 있는 출처에서 온 것으로 보이더라도 링크를 클릭하거나 개인 정보를 확인하라고 요청하는 모든 소통에 회의적으로 대처하라.

신용 동결을 고려하라. 캐나다에서는 Equifax와 TransUnion을 통해 신용 동결 또는 사기 경고를 요청할 수 있다. 신용 모니터링과 달리, 동결은 귀하의 명시적 승인 없이는 새로운 신용이 개설되는 것을 적극적으로 방지한다.

캠퍼스 및 공용 네트워크에서 VPN을 사용하라. 캠퍼스 Wi-Fi 환경은 모니터링되거나 손상될 수 있다. 대학 네트워크에서 민감한 계좌에 접근할 때 평판 좋은 VPN을 사용하면 동일한 네트워크에 있는 누군가가 트래픽을 가로채기 어렵게 하는 암호화 계층이 추가된다. 이는 특정 침해와 관계없이 모든 학생이나 직원에게 실용적인 습관이다.

시간을 두고 정보를 모니터링하라. 탈취된 데이터는 종종 즉시 사용되지 않는다. 향후 1년간 몇 달에 한 번씩 신용 보고서를 검토하고, 예상치 못한 계좌 개설이나 변경에 주의를 기울일 알림을 설정하라.

이것이 의미하는 바

마운트 로열 대학교 랜섬웨어 공격 및 데이터 유출은 기관의 사이버 보안 사고가 등록하거나 근무하기 위해 어쩔 수 없이 정보를 제공해야 했던 개인에게 실제적이고 개인적인 결과를 초래한다는 점을 상기시킨다. 포렌식 조사가 진행 중이며, 무엇이 유출되었는지에 대한 전체 그림은 몇 달 동안 명확하지 않을 수 있다.

MRU의 학생이나 직원이라면, 대학이 검토를 완료할 때까지 기다리지 말고 지금 위의 단계를 실행하라. 그리고 어떤 고등 교육 기관의 학생이나 교직원이라면, 이번 사건은 자신의 디지털 습관을 점검하라는 계기가 된다. 캠퍼스 네트워크는 공유 환경이며, 귀하의 개인 보안 태세는 기관이 제공하든 그렇지 않든 독립적으로 중요하다. VPN을 정기적인 도구 모음에 포함해야 하는지 여부를 포함해 이러한 네트워크를 어떻게 사용하는지 검토하는 것은 비용이 거의 들지 않으면서도 의미 있는 차이를 만들 수 있는 실용적인 단계다.