대학 온라인 커뮤니티 ‘에브리타임’에 학생들의 개인정보가 담긴 게시물이 대량 유포되며 논란이 일고 있다. 일부 게시물은 정상 이용자의 계정을 도용해 작성된 정황까지 드러나면서 이용자들의 불안이 커지고 있다.

8일 새벽 국민대학교와 동국대학교 등 주요 대학 에브리타임 게시판에는 학생들의 민감한 개인정보가 포함된 게시물이 잇따라 올라왔다. 게시물에는 피해 학생들의 이름과 사진, SNS 계정 링크를 비롯해 여권사진, 주민등록번호 뒷자리, 재학·졸업증명서 등 개인을 특정할 수 있는 정보가 포함된 것으로 확인됐다.

일부 게시물에는 피해 학생들의 일상 사진까지 함께 게시된 것으로 전해졌다. 해당 게시물을 확인한 학생들은 피해 학생에게 연락을 시도하고 게시물을 신고했으나, 한동안 삭제되지 않았던 것으로 알려졌다. 아침부터는 학생들의 집중 신고 및 게시자의 삭제를 통해 대부분 내려간 상태다.

동국대 에브리타임 이용자 A는 “에브리타임은 비밀번호 설정이 비교적 간단하고, 2차 인증을 통해 보안 공격 등을 사전에 대비할 수 있는 장치가 없는 점이 취약하다”며 “유출된 개인정보가 향후 AI 합성 등 디지털 범죄에 악용될 가능성이 있어 각별히 주의해야 할 것 같다”고 전했다. 

특히 일부 이용자의 에브리타임 계정이 도용된 정황이 확인되면서 보안 우려도 커지고 있다. 동국대 에브리타임 이용자 B는 “에브리타임에 접속한 지 오래되었음에도 불구하고 갑자기 자신의 계정으로 정보 유출 글이 작성돼 있었다”며 계정 도용 의심 정황을 전했다.

에브리타임 관계자는 이번 사건의 원인으로 크리덴셜 스터핑(Credential Stuffing) 공격을 지목했다. 이는 타 서비스에서 유출된 아이디와 비밀번호를 다른 플랫폼에 그대로 대입하여, 동일한 계정 정보를 사용하는 이용자의 로그인을 성공시키는 방식이다.

에브리타임 측은 이번 사건이 서버 해킹과는 무관하다고 강조했다. 관계자는 "에브리타임 중앙 서버나 회원 정보 데이터베이스가 외부로부터 해킹된 사실은 전혀 없었다"고 밝혔다. 이어 "유출된 개인정보들은 에브리타임 서비스 내에 저장되거나 관리되던 데이터가 아니며, 공격자가 외부 경로에서 이미 확보한 자료를 게시한 것"이라고 설명했다. 문제가 된 게시물은 인지 즉시 삭제했고, 유사한 방식의 추가 게시 시도도 차단하고 있다고 덧붙였다. 

문제는 이미 유출된 게시물의 캡처본이 외부 커뮤니티와 메신저 등을 통해 확산됐을 경우 실질적인 피해 차단이 어렵다는 점이다. 이에 따라 이용자들은 계정 활동 내역을 수시로 확인하고 아이디와 비밀번호를 변경하는 등 보안 조치를 강화해야 할 것으로 보인다. 에브리타임 관계자는 "다른 서비스와 동일한 계정 정보를 사용하는 이용자는 아이디와 비밀번호를 변경할 필요가 있다"고 당부했다. 

고아름 대학알리 기자 (areumgo@univalli.com)
김민주 대학알리 기자 (mubinzu824@gmail.com)