내 진료기록도 노출?…연쇄 해킹당한 병원·대학교 등 '21곳'

해킹과 개인정보 유출 사고가 잇따르면서 사이버 보안이 기업을 넘어 사회 전반의 안전을 위협하는 문제로 떠오르고 있다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 7일 국내 의료기관과 교육기관, 온라인 쇼핑몰 등 20여 곳의 내부 데이터를 탈취해 해킹 포럼에서 판매하는 동향을 확인했다고 밝혔다.

최근 쿠팡에서 발생한 대규모 개인정보 유출 사고에 이어 보안이 상대적으로 취약한 소규모 기관과 기업을 겨냥한 연쇄 해킹 시도가 잇따르면서 이용자들의 각별한 주의가 요구된다. 정부가 언급한 해킹 포럼 사이트에는 특정 닉네임을 사용하는 해커가 지난해 12월부터 이달 초까지 한국 기관 및 기업에서 탈취한 개인정보를 판매한다는 글을 올린 것으로 파악됐다.

개인정보가 유출된 것으로 추정되는 기관은 충북대, 금강대 기숙사, 삼성네오정보, 오피스파인드, 서귀포시 육아종합지원센터, 티아라의원 등 21곳에 달한다. 교육·의료·유통 등 분야를 가리지 않고 피해가 발생한 것이다. 유출 항목은 웹사이트 아이디와 비밀번호, 이용자 이름, 이메일 등으로 파악된다. 여기에 대학 기숙사 3년치 출입 기록은 물론 성형외과·지방흡입 전문병원 이용자 정보 등 민감한 개인정보까지 함께 유출된 정황이 있어 2차 피해 우려가 커지고 있다.

보안업계에서는 보안 투자 여력이 상대적으로 부족하지만 개인정보를 많이 보유한 중소 유통사와 교육·의료기관을 노린 사이버 공격이 갈수록 정교해지고 있다는 진단이 나온다. 업계 관계자는 “최근에는 인공지능(AI) 활용이나 자동화된 시스템을 통해 다수의 기관을 대상으로 공격을 시도하면서 피해가 빠르게 늘고 있다”고 말했다. 또 “개별 기관의 보안 인식 제고와 함께 정부 차원의 선제적이고 체계적인 통합 방어 체계 구축이 시급한 시점”이라고 강조했다.

과기정통부는 확인된 국내 피해 기관·기업 등에 침해사고 관련 정황을 신속히 공유했으며, 추가 사이버 공격과 피해 확산을 막기 위해 관련 기업·기관에 보안 점검 강화와 각별한 주의를 당부했다. 과기정통부와 KISA는 다크웹과 해킹 포럼 등에서 국내 정보가 불법 유통되는지에 대한 모니터링을 한층 강화하는 한편, 침해사고가 발생한 기업을 대상으로 기술 지원을 이어가겠다고 밝혔다.