옥스퍼드, 2025년 두 번째 침해 사고: 커리어 서비스 플랫폼 피해

옥스퍼드, 2025년 두 번째 침해 사고: 커리어 서비스 플랫폼 피해

옥스퍼드 대학교가 2025년 두 번째 대학 데이터 침해 자격증명 노출 사건을 공개했습니다. 공격자들이 해당 대학과 다른 영국 대학들이 사용하는 제3자 커리어 서비스 플랫폼을 침해했기 때문입니다. 이 침해로 인해 사용자 자격증명이 노출되었으며, 이는 외부 공급업체가 명문 대학조차 통제하기 어려운 보안 사각지대를 어떻게 만들어내는지에 대한 심각한 우려를 불러일으켰습니다.

몇 달 만에 옥스퍼드가 두 번째 침해 사실을 공개했다는 점은 더 넓은 패턴을 시사합니다. 대학은 가치가 높은 표적이며, 공격자들이 사용하는 경로는 점점 더 대학이 학생과 교직원에게 필수 서비스를 제공하기 위해 신뢰하는 공급업체를 통해 이루어지고 있습니다.

무슨 일이 일어났는가: 옥스퍼드 커리어 서비스 플랫폼 침해 설명

이 공격은 옥스퍼드의 핵심 IT 인프라를 직접 겨냥하지 않았습니다. 대신 위협 행위자는 학생들을 고용주, 인턴십 목록, 전문성 개발 자료와 연결해 주는 제3자 커리어 서비스 플랫폼을 침해했습니다. 이 플랫폼은 여러 영국 대학이 공유하고 있었기 때문에, 그 피해 범위는 옥스퍼드에만 국한되지 않았습니다.

무엇이 노출되었나? 사용자 자격증명, 즉 학생과 교직원이 플랫폼에 로그인할 때 사용한 사용자 이름과 비밀번호입니다. 자격증명이 도난당하면, 공격자는 특히 사용자가 비밀번호를 재사용한 경우 다른 서비스에서 이를 사용하려고 시도할 수 있습니다. 자격증명 스터핑으로 알려진 이 기술은 로그인 데이터가 손상된 후 가장 흔히 이어지는 위협 중 하나입니다.

2025년에 옥스퍼드가 사용자에게 침해를 알려야 했던 것은 이번이 두 번째로, 학문적 명성과 상관없이 어떤 기관도 제3자 소프트웨어 의존성에서 비롯되는 연쇄적 위험에서 자유롭지 못하다는 점을 강조합니다.

제3자 공급업체가 대학 보안의 가장 취약한 연결고리인 이유

대학은 방대한 외부 플랫폼 생태계에 의존하고 있습니다. 학습 관리 시스템, 커리어 포털, 도서관 데이터베이스, 결제 처리기, 학생 건강 앱 등이 그것입니다. 이러한 각 공급업체는 공격자에게 잠재적인 진입점이 될 수 있으며, 대학은 파트너들이 데이터를 어떻게 보호하는지 거의 완전히 파악하지 못합니다.

이는 단순한 기술적 문제가 아니라 구조적 문제입니다. 대학은 자체 네트워크 방어에 막대한 투자를 할 수 있지만, 민감한 로그인 데이터를 다루는 공급업체는 더 취약한 보안 통제로 운영될 수 있습니다. 결과적으로 가장 취약한 연결고리에서 사슬이 끊어집니다.

이러한 패턴은 다양한 분야에서 지속적으로 나타납니다. 독일 대학 병원에 영향을 미친 청구 서비스 침해 사건은 기관을 대신해 데이터를 처리하는 제3자 업체가 주 기관이 사건에 대해 직접적인 통제권이 없음에도 불구하고 수만 건의 기록을 노출시킬 수 있음을 보여주었습니다. 마찬가지로, 프랑스 의료 소프트웨어 제공업체 침해 사건에서는 보건부가 신뢰한 공급업체를 통해 1,580만 건의 의료 기록이 노출되었습니다. 옥스퍼드 사례도 동일한 구조적 논리를 따릅니다. 대학은 영향을 받은 사용자에게 책임을 지지만, 취약성은 그 내부가 아닌 외부에서 비롯되었습니다.

특히 대학의 경우 사용자 수와 변동성 때문에 어려움이 가중됩니다. 매년 수천 명의 신입생이 등록하고 수십 개의 플랫폼에 계정을 만들지만, 안전한 자격증명 관리 관행에 대한 일관된 지침을 받는 경우는 거의 없습니다.

보안되지 않은 캠퍼스 Wi-Fi가 자격증명 도난 위험을 높이는 방법

대학 자격증명 노출에는 종종 간과되는 측면이 있습니다. 바로 학생들이 이러한 플랫폼에 접속하는 네트워크 환경입니다. 캠퍼스 Wi-Fi 네트워크와 대학 건물 근처의 공용 핫스팟은 개방되어 있거나 최소한의 보안만 갖춘 경우가 많습니다. 학생들이 이러한 연결을 통해 커리어 포털, 학습 관리 시스템, 또는 기관 이메일에 로그인할 때 악의적인 행위자가 네트워크를 모니터링하고 있다면 자격증명이 가로채질 수 있습니다.

이는 가상의 위험이 아닙니다. 학내 환경에는 기술적 능력을 갖춘 사람들이 밀집해 있으며, 개방된 네트워크는 중간자 공격과 같은 기술을 통해 자격증명을 수집할 수 있는 직접적인 기회를 제공합니다.

이러한 위험은 침해 사건 이후 특히 관련성이 높습니다. 자격증명이 이미 노출된 경우, 이를 입수한 공격자는 관련 기관 계정을 탐색할 수 있으며, 침해 후 기간 동안 보안되지 않은 네트워크에서 로그인하는 사용자는 추가 세션 데이터가 캡처될 위험에 특히 취약합니다.

이러한 역학은 유명 학술 기관에서 실제로 발생했습니다. ShinyHunters가 펜실베이니아 대학교의 Canvas 플랫폼을 표적으로 삼아 30만 명 이상의 사용자를 위험에 빠뜨린 사건이 바로 그 예입니다. 학술 플랫폼은 우연한 표적이 아닙니다. 대규모의 사용자 집단이 자격증명을 자주 재사용하는 풍부한 데이터를 보유하고 있기 때문에 적극적으로 추적됩니다.

학생과 교직원이 지금 당장 계정을 보호하기 위해 해야 할 일

옥스퍼드 또는 영향을 받은 커리어 서비스 플랫폼을 사용한 다른 영국 대학교의 학생이나 교직원이라면, 지금 당장 취해야 할 구체적인 조치가 있습니다.

영향을 받은 플랫폼의 비밀번호를 즉시 변경하세요. 침해 사실을 이미 통보받았다면 공식 안내를 기다리지 마십시오. 지금 변경하십시오.

비밀번호 재사용 여부를 확인하세요. 대학 이메일, 기관 로그인 또는 다른 서비스에서 동일한 비밀번호를 사용한 경우, 해당 비밀번호도 변경하십시오. 자격증명 스터핑 공격은 사람들이 여러 플랫폼에서 비밀번호를 재사용하기 때문에 특히 성공합니다.

가능한 모든 곳에서 다중 인증을 활성화하세요. 자격증명이 도난당하더라도 MFA는 공격자가 도난당한 사용자 이름과 비밀번호 조합으로 간단히 로그인하는 것을 막는 두 번째 장벽을 만듭니다.

캠퍼스와 공용 네트워크에서 VPN을 사용하세요. 가상 사설망은 인터넷 트래픽을 암호화하여 개방적이거나 보안이 취약한 Wi-Fi에서 자격증명 및 세션 데이터가 가로채지는 것을 방지합니다. 이는 카페, 도서관, 공유 학생 숙소 또는 완전히 보안되지 않은 캠퍼스 네트워크에서 기관 플랫폼에 접속할 때 특히 중요합니다.

계정에서 비정상적인 활동이 있는지 모니터링하세요. 자격증명 노출 후에는 예상치 못한 로그인 알림, 요청하지 않은 비밀번호 재설정 이메일, 대학 이메일 주소와 연결된 계정에서 익숙하지 않은 활동이 있는지 주의 깊게 살펴보세요.

2025년 옥스퍼드의 두 번째 데이터 침해 사건은 대학 데이터 침해 자격증명 노출이 단순한 일회성 사건이 아니라는 점을 상기시킵니다. 이는 제3자 공급업체에 대한 구조적 의존성에서 비롯되고 학생들이 매일 생활하는 개방형 네트워크 환경으로 인해 악화되는 반복적인 위험입니다. 자격증명과 네트워크 보안을 통제하는 것이 지금 영향을 받은 사용자가 할 수 있는 가장 직접적인 대응입니다.