'온라인논문투고시스템’, 개인 정보 유출 12만 건
개인정보 유출 사고는 이제 뉴스에서 흔히 들리는 말이 되었지만, 이번엔 연구자들에게 익숙한 논문 시스템 JAMS가 해킹당했습니다. ‘한국연구재단’에서 운영하던 이 시스템에서 12만 건이 넘는 개인정보가 빠져나갔다고 합니다. 이름, 생년월일, 이메일 주소, 전화번호, 계정 ID까지 연구자들의 민감한 정보가 고스란히 유출된 겁니다.
놀라운 건, 이 시스템에 등록된 학회만 무려 1,600곳이라는 점입니다. 단순히 한 기관이 아니라, 수많은 학회와 수십만 명의 연구자가 이용하는 플랫폼이었기에 피해 규모는 단순 수치보다 훨씬 클 수 있습니다.
2차 피해, 이렇게 시작됩니다
예시 1. ‘논문 심사 요청’으로 위장한 피싱 메일
- 유출된 정보: 이름, 이메일 주소, 소속 정보
- 공격 방식: 해커가 “논문 심사 요청드립니다”라는 제목으로 메일을 보내고, 첨부파일을 열거나 링크를 클릭하도록 유도합니다.
- 피해: 첨부된 악성 파일을 실행하거나 링크 클릭 시, 사용자 기기가 감염되거나 계정 정보가 유출됩니다.
📌 실제 연구자들에게는 매우 자연스러운 메일 내용이라 쉽게 속을 수 있습니다.
예시 2. ‘학회 일정 안내’ 문자로 위장한 스미싱
- 유출된 정보: 이름, 전화번호
- 공격 방식: “○○학회 일정 안내드립니다”라는 문자에 링크가 포함되어 있습니다. 클릭 시 악성 앱이 설치되거나 결제정보를 요구하는 페이지로 유도됩니다.
- 피해: 스마트폰 감염 또는 금전적 피해 발생 가능성
예시 3. 유출된 ID로 로그인 시도 → 계정 탈취
- 유출된 정보: 계정 ID, 이메일
- 공격 방식: 해커가 여러 웹사이트에서 유출된 ID로 패스워드 대입 공격을 시도합니다.
- 피해: 연구기관, 학회 등 다른 시스템에 있는 계정까지 해킹당해 논문, 연구 데이터, 업무 메일이 탈취될 수 있음
📌 특히 같은 비밀번호를 여러 곳에 사용하는 경우 매우 위험합니다.
왜 이런 일이 반복될까요?
대부분의 해킹 사고는 시스템의 ‘취약점’을 노린 공격으로 시작됩니다. 마치 오래된 자물쇠가 달린 문을 도둑이 보고는 “이 집 털기 쉽겠네” 하고 들어가는 것처럼, 보안 업데이트가 제대로 되지 않았거나 설계상 허술한 부분을 공격자들이 파고드는 겁니다.
보안은 결국 ‘나’를 지키는 것
우리는 더 이상 “나는 해커의 표적이 아니니까 괜찮아”라고 말할 수 없습니다. 이제 해커들은 개인보다 ‘서비스’를 노리고, 그 안에 들어있는 불특정 다수의 정보를 노립니다. 마치 은행 금고를 털어 한꺼번에 많은 사람들의 귀중품을 가져가는 식입니다.
그렇다면 사용자는 어떻게 스스로를 지킬 수 있을까요? 비밀번호를 자주 바꾸는 것도 방법이지만, 근본적인 대책은 위험한 링크를 열지 않는 것, 그리고 의심되는 웹사이트에 접속하지 않는 것입니다.
블랙쏘세지로 링크를 보세요.
블랙쏘세지는 링크를 직접 열지 않고, 원격 브라우저를 통해 미리 확인하게 해주는 보안 기술을 사용합니다.
쉽게 말해, 내 스마트폰이 직접 웹사이트를 여는 대신, 안전한 방탄유리 뒤에서 대신 열어보는 것이라고 생각하면 됩니다. 해커가 웹사이트에 뭔가를 심어놨어도, 내 기기에는 닿지 않으니 악성코드 감염 걱정 없이 링크를 열 수 있습니다.
