교육용 소프트웨어 ‘파워스쿨’ 해킹으로 전국 학생 6천만 명 피해
전국적으로 사용되는 교육용 소프트웨어 ‘파워스쿨(PowerSchool)’을 겨냥한 사이버 공격으로 조지아주 학생 약 25만 명의 개인정보가 유출됐을 가능성이 있는 것으로 나타났다.
이 공격에 가담한 인물 중 한 명은 당시 19세의 매튜 레인(Matthew Lane)으로, 현재 연방 교도소에서 4년 형을 복역 중이다.
레인은 수감 전 ABC뉴스와의 단독 인터뷰에서 “해킹은 고속도로에서 시속 190km로 달리는 것보다 더 큰 아드레날린을 준다”며 “해킹에 중독돼 있었다. 가장 강렬한 자연적 쾌감이었다”고 말했다.
레인은 어린 시절 정신건강 문제를 겪었으며, 온라인 게임 로블록스(Roblox)를 하면서 프로그래밍을 시작했다고 밝혔다. 게임 내 치팅 커뮤니티에 빠져들면서 웹 보안 취약점 연구로 발을 넓혔고, 결국 범죄로 이어졌다.
그가 가담한 파워스쿨 해킹은 전국 학생 6000만 명과 교사 1000만 명의 사회보장번호, 생년월일, 의료 정보 등을 유출시킨 대규모 사건이다. 조지아주에서만 수만 명이 피해를 입은 것으로 파악된다.
FBI 수사관 더그 도민은 “레인이 우크라이나에 보유한 서버로 연결되는 IP 주소를 추적할 수 있었다”며 “재정적 피해와 학생·교직원들이 평생 감수해야 할 영향을 고려하면 제가 본 사건 중 가장 심각한 수준”이라고 말했다.
레인의 사례는 빙산의 일각이다. FBI는 최근 미국 정부 보유 암호화폐 수천만 달러를 탈취한 혐의로 21세 존 다기타(John Daghita)를 체포했으며, 2022년에는 18세 조셉 개리슨(Joseph Garrison)이 드래프트킹스(DraftKings) 해킹으로 60만 달러 이상의 피해를 입힌 혐의로 기소됐다.
차세대 윤리적 해커 양성 기업 ‘해킹게임즈(Hacking Games)’ CEO 퍼거스 헤이는 “데이터가 보여주는 것은 사이버 범죄를 저지르는 사람 대다수가 미성년자라는 사실”이라며 “해커들이 온라인에서 게임 실력이 뛰어난 아이들에게 접근해 또래인 척 그루밍(grooming)을 시작한다”고 경고했다.
헤이는 “부모들이 자녀의 온라인 세계에 관심을 기울여야 한다. 자녀가 자기 방에서 그루밍 대상이 될 수 있다는 위협을 이해해야 한다”고 강조했다.
레인 본인도 “솔직히 FBI와 법무부에 감사한다. 그들이 아니었으면 절대 멈추지 못했을 것”이라고 말했다.
자녀가 로블록스 등 온라인 게임을 하고 있다면, 단순한 게임 활동을 넘어 치팅 프로그램이나 해킹 커뮤니티에 노출될 수 있다는 점을 인지해야 한다.
또한 파워스쿨을 사용하는 조지아주 학교에 자녀가 재학 중이라면, 학교 측에 개인정보 유출 여부를 확인하고 신용 모니터링 서비스 등록을 고려할 필요가 있다.
https://shorturl.fm/Rn6gT