한국디지털포렌식학회, 포렌식 대회서 '개인정보 유출'

한국디지털포렌식학회, 포렌식 대회서 '개인정보 유출'

한국디지털포렌식학회가 주최한 'KDFS 2019 디지털 포렌식 챌린지' 대회에서 운영 미숙으로 '개인정보'가 유출됐다. 정보보호 관련 학회가 대회를 운영하며 개인정보보호에 소홀해 비판이 거세다.

18일 업계에 따르면 한국디지털포렌식학회가 개최한 'KDFS 2019 디지털 포렌식 챌린지' 대회 문제 중 실제 개인정보가 포함된 것으로 드러났다.

이 대회는 한국디지털포렌식학회가 매년 현실 문제를 선정, 관련 포렌식 작업을 진행해 시상하는 대회다. 이번 대회에 스마트폰 이미징 파일을 정밀 분석하는 과제를 냈다.

문제는 정밀 분석 이미지 과제 파일에 개인정보 약 280개가 노출됐다. 해당 개인정보는 특정인 주소, 직업, 개인 휴대전화 번호 등이 포함 됐다. 이번 개인정보 유출사고 대상자는 국립과학수사원, 국가보안기술연구소, 한국원자력연구원, 경찰청, 금융권 최고정보보호책임자(CISO) 등이 포함됐다. 정보 유출시 치명적 결과를 불러올 수 있다. 이들 개인정보를 악용해 스피어피싱 공격 등 다양한 공격시도까지 가능하다. 학회 측이 개인정보 유출 규모를 파악하지 못하고 있어 향후 개인뿐 아니라 관련 기관 피해까지 예상된다.

학회는 9월 6일 파일을 처음 업로드 했으며 이후 개인정보 유출 사실을 인지해 9월 11일 파일을 내렸다. 이후 한 차례 재수정을 거쳐 17일 최종 수정했다.

한국디지털포렌식학회, 포렌식 대회서 '개인정보 유출'

한국디지털포렌식학회 관계자는 “문제 출제 과정에서 개인 휴대전화가 연동된 것을 인지하지 못했고, 검수과정에서도 해당 문제를 발견 못했다”면서 “개인정보 유출사고에 대해 죄송하게 생각하며 해당 파일을 업로드 한 이후 문제를 발견해 수정 진행했다”고 말했다.

학회가 17일 문제 파일을 최종 수정했지만 조치는 완벽히 이뤄지지 않았다. 기존 문제가 됐던 파일뿐 아니라 이외 파일에서도 같은 개인정보가 노출됐다. 현재 해당 문제를 추가 조치중이다.

이번 사고는 인재다. 문제 출제 과정 실수 뿐 아니라 사후 대응도 제대로 되지 않았다. 개인정보 유출 당사자에게 별도 연락을 취하지 않았으며 유출사실에 대한 공지도 하지 않았다. 해당 파일이 얼마나 다운로드 됐는지 등도 아직 파악하지 못했다.

한국디지털포렌식학회 관계자는 “금일(18일) 개인정보 유출에 대한 공지를 올리고자 했으나 추가 문제가 발생해 최종 확인 후 홈페이지를 통해 해당 사실에 대해 알릴 예정”이라면서 “이전 대회진행을 고려했을 때 파일 다운로드 규모는 그리 크지는 않을 것”이라고 덧붙였다.

정영일기자 jung01@etnews.com