수상쩍은 메일

7일, 노벨 화학상 수상자 토머스 체크, 인텔의 창립자 로버트 노이스 등을 배출한 미국 아이오와 주의 그린넬 칼리지(Grinnell College)에 지원한 학생들은 수상쩍은 메일을 받았다.

그린넬 칼리지의 공식 메일 주소를 통해 보내진 이 이메일엔 '지원자들이 1BTC(약 400만 원)를 보내면 입학 사정관의 논평, 면접 리포트, 추천서, 그리고 합격/불합격 여부 등을 보내주겠다'는 내용이 담겨있었다.  

1시간 뒤 똑같은 주소로 다시 이메일이 왔는데, 가격을 $60(약 7만 원)으로 낮춰주겠다는 제안을 하기도 했다. 이런 수상한 제안을 받은 것은 그린넬 칼리지에 지원한 학생만이 아니다. 뉴욕 주의 해밀턴 칼리지와 음악대학으로 유명한 오하이오 주의 오벌린 칼리지에 지원한 학생들도 이와 비슷한 메일을 받은 것으로 알려졌다.
 

큰사진보기
▲  그린넬 칼리지의 현 홈페이지 1면, 지원자들에게 알리는 공고문이 쓰여 있다.
ⓒ Grinnell College	관련사진보기

지난 8일 그린넬 칼리지의 한 입학 사정관은 기자와 전화통화에서 "오늘 아침 학생들이 개인정보 등이 포함된 데이터베이스에 접근 권한을 얻었다 주장하는 자로부터 메일을 받은 것을 인지했다"라고 이야기했다. 또한 "학생들이 받은 메일은 자신들이 보낸 메일이 아니"라고 언급했다. 이어 "FBI를 포함한 전문가들에게 연락했고, 학생들에게 가능한 한 빨리 공지를 줄 것"이라고 밝혔다.

지원자 시스템 해킹?

이 3개의 대학은 한 가지 공통점을 가지고 있다. 바로 '슬레이트(Slate)'라는 프로그램을 사용해 지원자를 관리했다는 것이다. 슬레이트는 수백 개의 대학이 지원자를 관리하기 위해 사용하는 시스템이다. 지원자의 신상정보를 포함해 시험 정보, 자기소개서, 합격 여부 등이 전부 슬레이트에서 관리된다. 그렇기 때문에 미국의 몇몇 대학 입학 관련 사이트에서는 슬레이트가 해킹당한 것 아니냐는 소문이 돌았다.

실제로 학생들에게 보내진 메일에는 '슬레이트가 해킹당했다'고 적혀 있었고, 이를 증명하기 위해 학생들의 생년월일, 주소, 면접자의 이름 등이 메일에 제시되어 있었다.
 

큰사진보기
▲  Slate를 개발하는 테크놀루션즈의 사이트
ⓒ Technolutions Inc.	관련사진보기

그러나 슬레이트를 개발한 테크놀루션즈(Technolutions Inc.) 측은 이를 부인했다. 테크놀루션즈의 최고경영자(CEO) 알렉산더 클라크는 미국의 신문 크로니클(The Chronicle of Higher Education)지에 슬레이트는 안전하다고 밝혔다. 그는 대학들이 직원들을 위해 추가한 비밀번호 초기화 시스템을 해커들이 사용한 것 같다고 밝혔다.

지원자 개인 정보 유출 피해 어디까지?

대학의 입학 지원자 관리 시스템이 해킹 의혹이 불거지면서, 지원자들은 신상정보 유출을 우려하고 있다. 해커가 보낸 메일에는 지원자의 생년월일, 주소만 기재돼 있었지만, 지원자들은 애초 전화번호, 친인척의 직장 이름, 활동경력 등 더 다양한 신상 정보를 대학 측에 보낸 바 있다.

특히 장학금 신청을 위해 대학 측에 급여 명세서 등 금융 정보를 입력한 이들도 있는데, 이에 대한 우려도 크다. 여기엔 미국의 주민등록번호인 '소셜 세큐리티 넘버(SSN)'를 포함한 다양한 개인정보가 포함돼 있다.

미국의 인기 온라인 커뮤니티 레딧(Reddit)의 한 네티즌은 '내 SAT(미국 대학수학능력시험) 성적을 해커가 아는 것은 상관없지만 그들이 내 금융정보나 주민등록번호에 접근했는지는 우려된다'고 이야기하기도 했다.

그린넬 칼리지 측은 홈페이지 1면에 "아직까지 학생이나 학부모가 제공한 금융 정보가 이 사건을 통해 유출되었다는 증거는 없다"고 밝혔고 한국시간으로 9일 오전 지원자들에게 사과 메일을 보낸 것으로 알려졌다.
 

해킹 추정 메일 번역문

"친애하는 [이름]께, 당신은 당신의 대학 입학과 관련된 모든 정보를 구매할 수 있는 보기 드문 기회를 제안받았습니다. 입학 사정관의 논평 지정된 등급 면접 리포트 (존재할 시) 추천서 합격 여부 (일반전형으로 지원했을 시) 우리는 이 데이터에 1BTC(~400만 원)라는 가격을 책정했습니다. 알아두셔야 할 것은, 비록 저희가 데이터에 붙인 가격이 상당할지라도, 이 제안은 그린넬 입학처의 관점에서 아무런 여과 없이 자신을 볼 수 있는 유일무이한 제안입니다. 이 제안을 받아들이시려면, 저희가 지정한 양만큼의 비트코인을 14ynXYJE8yC8PP2MS1E1A8eEnUnV53e5DH으로 보내고 ABF2901@protonmail.com으로 당신의 비트코인 지갑 주소 한 줄을 적은 이메일을 보내주시면 됩니다. 돈이 없지만, 이 서비스를 구매하려고 계획하고 계신다면 위 주소로 저희가 당신에게 연락 할 수 있게 빈 메시지를 보내주시면 됩니다. 이 메시지가 슬레이트가 정말로 해킹되었다는 증거가 되기를 바랍니다. 우리는 당신과 함께 일하기를 기대하겠습니다, [이름]! 당신의 생년월일은 [생년월일]입니다. 마음을 담아, 다이앤 에버그린 UDA International" 메일 원문: "Dear [NAME], You are now presented with a unique opportunity to purchase your entire admissions file: Comments by Admissions Officers Assigned Ratings Interview Report (if present) Teacher Recommendations Tentative Decision (if applying Regular) We are charging 1 BTC (~$3890) for this data. Be aware that although the price tag is substantial, this offer presents a unique opportunity to look at yourself from the inside of Grinnell Admissions office absolutely unfiltered. To receive the service, send the amount to 14ynXYJE8yC8PP2MS1E1A8eEnUnV53e5DH and write an email to ABF2901@protonmail.comthat contains one single string - your Bitcoin Transaction ID. If you don't have the amount yet but are planning to purchase the service, you are welcome to drop an empty message to the named address so that in case of compromise you will be able to get in touch with us. Let his message serve proof that Slate has indeed been breached. We look forward to working with you, [NAME]! Your birthday is on [BD]. Sincerely, Diane Evergreen, UDA International"