2025.12.28 인천인하대 랜섬웨어 감염 요약

1. 개요

• 인하대학교는 2025년 12월 28일 오전 6시 50분경 학사정보시스템을 대상으로 대규모 랜섬웨어 공격을 받았습니다. 
• 랜섬웨어 그룹 '건라(Gunra)'에 의한 공격으로 확인되었으며, 이들은 공격 직후 이메일을 통해 협상을 제안하는 전형적인 랜섬웨어 협박 수법을 사용하였습니다.
• 대학의 대표 홈페이지 및 주요 내부 시스템 접속이 완전히 차단되어 약 14시간 동안 서비스 장애가 지속되었으며, 같은 날 오후 9시경 복구되었습니다.

 

2. 피해범위

• 본 사건의 피해 범위는 대학 전체 정보시스템에 광범위하게 미쳤습니다. 
• 인하대의 대표 홈페이지를 포함한 주요 내부 시스템이 완전히 접근 불가능 상태에 빠졌으며, 특히 학사정보시스템이 직접적인 공격 대상이었습니다.
• 이로 인해 재학생, 신입생, 교직원 등 수만 명의 대학 구성원들이 학사 관련 업무를 수행할 수 없는 상황이 발생하였습니다. 
• 사건이 발생한 시점이 학기 말 수강신청 및 학사 행정 처리 시기였다는 점을 고려하면, 실제 피해의 심각성이 상당하였을 것으로 판단됩니다.

 

3. 유출항목

• 인하대는 공격 직후 학생 및 교직원의 개인정보 유출 가능성을 배제할 수 없다고 판단하여 관계 기관에 신고하였습니다. 
• 랜섬웨어 그룹 '건라'는 650기가바이트(GB) 규모의 내부 자료를 탈취하였다고 주장하고 있습니다.
• 구체적으로, 다크웹을 통해 대학 구성원 개인정보 샘플을 공개한 것으로 전해졌으며, 여기에는 이름, 휴대전화 번호, 주민등록번호, 이메일, 사진, 학점 등이 포함되어 있습니다. 
• 학사정보시스템이 공격 대상이었다는 점을 감안하면, 학생의 학번, 성적 정보, 학적 변동 사항, 교직원의 인사 정보 등이 포함되었을 가능성이 높습니다.
• 인하대 측은 현재 개인정보 유출 주장에 대한 사실관계를 확인 중이며, 조사 결과에 따라 개인정보 유출이 확인될 경우 관련 법령에 따라 당사자들에게 개별 통지하고 보호 조치를 안내할 방침을 밝혔습니다.

 

4. 원인

• 공식 뉴스 기사에서 구체적인 침입 경로는 아직 최종 규명되지 않았습니다. 
• 인하대는 현재 전문 기관과 함께 정확한 침입 경로와 피해 규모를 면밀히 조사 중에 있다고 밝혔습니다.
• 그러나 2025년 랜섬웨어 공격 추세 및 건라 그룹의 일반적인 공격 방식을 고려할 때, 다음과 같은 경로가 가능할 것으로 추정됩니다.
• 건라 그룹은 피싱 이메일을 통한 악성 문서 및 매크로 실행, 소프트웨어 취약점 이용 등의 방식으로 접근하는 것으로 알려져 있습니다. 
• 특히 보안 패치가 미적용된 시스템이 직접적인 침입 경로가 될 가능성이 있으며, VPN, RDP 등의 원격 접속 솔루션이 약한 자격증명이나 다중인증 부재 상태에서 운영되었을 가능성도 제기됩니다.

 

5. 대응

 - 인하대는 사고를 인지한 즉시 신속한 대응 조치를 취하였습니다.

  > 기관 신고

• 인하대는 사고 직후 교육부와 한국인터넷진흥원(KISA)에 피해 사실을 신고하였으며, 개인정보 유출 가능성을 고려하여 개인정보위원회에도 신고 절차를 완료하였습니다.

  > 시스템 격리 및 복구

• 비정상 접근이 확인되는 즉시 외부 접속을 차단하는 응급 조치를 시행하였습니다.
• 인하대는 12월 27일 오후 9시 기준으로 저장된 백업 데이터를 활용하여 시스템 복구를 진행하였으며, 이를 통해 약 14시간 만인 12월 28일 오후 9시경 시스템을 정상화하였습니다.

  > 내부 공지

• 학교는 구성원들에게 출처가 불분명한 이메일, 전화, 문자 메시지에 주의할 것을 당부하는 공지를 발령하였습니다.

  > 전문가 조사

• 현재 전문 기관과 협력하여 정확한 침입 경로와 피해 규모를 조사 중이며, 조사 결과에 따라 개인정보 유출이 확인될 경우 당사자들에게 개별 통지하고 보호 조치를 안내할 계획입니다.

 

6. 문제점

 - 본 사건은 고등교육 기관의 사이버보안 체계에 여러 구조적 문제점을 노출시켰습니다.

  > 사전 예방 체계의 부재

• 사건 발생 후 공개된 정보에 따르면, 인하대는 랜섬웨어 위협에 대한 사전 모니터링 및 예탐 시스템이 충분하지 못했던 것으로 추정됩니다.
• 2025년 상반기 랜섬웨어 공격이 전년 대비 122% 증가했다는 보안 통계가 있었음에도 불구하고, 오전 6시 50분 공격 이후 탐지까지 상당한 시간이 경과한 것으로 보입니다.

  > 보안 패치 관리의 미흡

• 2025년 상반기 주요 랜섬웨어 공격 사례를 보면, Fortinet 방화벽 등의 알려진 취약점을 노리는 공격이 빈번하였으며, 대규모 교육 기관에서도 보안 패치 적용이 적절하게 이루어지지 않았을 가능성이 높습니다.

  > 백업 전략의 한계

• 14시간이라는 긴 복구 시간은 백업 복구 절차의 비효율성을 시사합니다.
• 또한 학기 말 중요한 학사 행정 시기에 장시간 서비스 마비가 발생함으로써 학생과 교직원에게 실질적 피해를 주었습니다.
• 고등교육 기관의 경우 더욱 빠른 복구 목표 시간(RTO)을 설정하고 이를 달성할 수 있는 백업 및 재해복구 시스템 강화가 필요합니다.

  > 정보 공개의 투명성 문제

• 현재까지 인하대는 구체적인 피해 규모, 유출된 개인정보의 범위, 침입 경로 등에 대한 상세 정보를 충분히 공개하지 않고 있습니다.
• 이는 피해자인 학생과 교직원들의 알 권리를 충족시키지 못할 뿐 아니라, 추가 2차 피해 예방을 위한 개인의 주의 행동을 제약합니다.

  > 사이버보안 인프라의 격차

• 고등교육기관 간 사이버보안 투자 수준의 차이가 존재하고 있습니다.
• 대형 대학이라 하더라도 사이버보안 전담 조직, 24/7 보안 모니터링, 고급 위협 탐지 시스템 등이 충분하지 못한 경우가 많으며, 특히 학사정보시스템과 같이 민감한 개인정보를 다루는 시스템에 대한 별도의 보안 강화 조치가 미흡했던 것으로 판단됩니다.

  > 랜섬웨어 협박에 대한 대응 지침 부재

• 해커가 협상을 제안한 메시지를 보냈음에도 불구하고, 학교가 이에 어떻게 대응했는지, 협상 요구 금액이 얼마였는지 등에 대한 공개 정보가 충분하지 않습니다.
• 고등교육기관 차원의 랜섬웨어 협박에 대한 표준화된 대응 가이드라인이 부족한 상황입니다.