말웨어, 파워스쿨 내부 비밀번호 유출…엔지니어 컴퓨터 해킹으로 드러나

말웨어, 파워스쿨 내부 비밀번호 유출…엔지니어 컴퓨터 해킹으로 드러나

미국 에드테크 거대 기업 파워스쿨, 사이버 공격으로 수천만 명의 학생 및 교사 데이터 유출 위기

지난 12월 28일 발견된 사이버 공격과 데이터 유출 사고로 인해 미국의 에드테크 거대 기업 파워스쿨(PowerSchool)의 수천만 명에 달하는 학생과 교사의 민감한 정보가 유출될 위기에 처했습니다.

파워스쿨은 이번 유출 사고가 하청업체 계정의 보안 침해와 관련이 있다고 고객들에게 설명했지만, TechCrunch는 파워스쿨 소속 소프트웨어 엔지니어의 컴퓨터가 악성코드에 감염돼 회사 자격 증명이 탈취된 별도의 보안 사고를 확인했습니다.

하청업체 계정과 엔지니어의 계정이 동일 인물일 가능성은 낮다고 보도됐으며, 엔지니어 자격 증명 도난 사건은 파워스쿨의 보안 정책과 실효성에 대한 의문을 더욱 증폭시키고 있습니다. 파워스쿨은 지난해 56억 달러 규모의 거래를 통해 사모펀드 베인 캐피털(Bain Capital)에 인수된 바 있습니다.

광범위한 데이터 유출 및 민감 정보 포함

파워스쿨은 18,000개 이상의 학교에서 6,000만 명 이상의 학생을 지원하는 기록 관리 소프트웨어를 운영하고 있으며, 이번 공격으로 인해 학생들의 사회보장번호, 성적, 인구통계 자료, 의료 정보 등 민감한 개인 정보가 유출된 것으로 확인됐습니다. 일부 학교는 해커들이 역사적인 학생 및 교사 데이터 전체를 탈취했다고 밝혔습니다.

한 학교 관계자는 학생들의 민감한 정보, 예를 들어 부모의 접근 권한 정보와 보호명령, 특정 학생의 약물 복용 시간과 같은 민감한 세부 정보가 유출된 증거가 있다고 전했습니다. 각 학교가 파워스쿨 시스템에 추가한 데이터에 따라 유출된 정보의 범위는 다를 수 있는 것으로 보입니다.

보안 결함과 허술한 암호 관리

파워스쿨은 해커들이 기술 지원 하청업체 계정 하나를 이용해 고객 지원 포털에 접근했다고 밝혔으며, 해당 계정에는 다중 인증(MFA)이 적용되지 않았던 것으로 드러났습니다. 파워스쿨은 이후 MFA를 도입했다고 발표했습니다.

그러나 TechCrunch는 악성코드 LummaC2가 한 파워스쿨 엔지니어의 컴퓨터에서 자격 증명을 탈취한 로그를 확보했습니다. 탈취된 정보에는 파워스쿨 내부 시스템의 소스 코드 저장소, Slack 메시지 플랫폼, 버그 및 문제 추적을 위한 Jira 계정 등이 포함되어 있었습니다. 특히 AWS S3 클라우드 스토리지 서버 전체에 대한 접근 권한도 포함되어 있는 것으로 보입니다.

해당 엔지니어의 컴퓨터에 저장된 다른 직원들의 자격 증명도 발견됐으며, 여러 암호는 지나치게 단순하거나 과거 데이터 유출에서 이미 노출된 적이 있는 것으로 확인됐습니다. 파워스쿨은 사건 이후 전면적인 비밀번호 재설정과 보안 강화 조치를 시행했다고 밝혔지만, 초기 보안 허점에 대한 비판은 피하기 어려울 것으로 보입니다.

추가 조사와 남은 의문들

파워스쿨은 현재 크라우드스트라이크(CrowdStrike)와 협력해 사건을 조사 중이며, 조사 보고서는 금요일 발표될 예정입니다. 그러나 회사는 보고서의 세부 내용이나 공개 여부에 대해 명확히 밝히지 않았습니다.

학교 관계자들은 파워스쿨의 사건 문서가 고객 전용 웹사이트를 통해서만 접근 가능하다는 점에 불만을 제기하며, 데이터 유출 피해를 확인하기 위해 다른 학교와의 협력을 통해 로그를 분석하고 있는 상황입니다.

파워스쿨의 데이터 유출 사건은 교육 및 기술 업계에서 보안의 중요성을 다시금 환기시키며, 기업의 보안 정책과 책임에 대한 논쟁을 촉발하고 있습니다.