2024년 12월, 노스캐롤라이나 파워스쿨 해킹당해.
노스캐롤라이나 주를 포함한 전 세계 교육기관에서 사용되는 학생 정보 관리 소프트웨어인 PowerSchool이 해킹 공격을 받아 수백만 명의 학생과 교사의 민감한 정보가 유출되었습니다. 이 사건은 특히 노스캐롤라이나 주의 모든 공립학교 학생과 교사에게 영향을 미쳤으며, 2013년 이후의 데이터가 포함되어 있습니다. 이 사고로 인해 노스캐롤라이나 전역의 공립학교 학생과 교사 수십만 명의 민감한 개인정보가 외부에 노출되었고, 그 중에는 사회보장번호(SSN), 주소, 연락처, 성적, 인종 정보까지 포함돼 있습니다.
이런 정보는 신용카드 부정 발급, 아동 명의 도용, 피싱 사기 등에 바로 악용될 수 있습니다. 특히 신용기록이 없는 자녀의 정보는 해커들이 가장 선호하는 ‘깨끗한 신원’으로, 수년 후까지 피해가 이어질 수 있는 잠재 위험을 안고 있는 것입니다. 오늘은 이번 해킹 사건에 어떻게 대처해야 하는지 같이 살펴보겠습니다.
사건 배경: 노스캐롤라이나 파워스쿨 해킹 사건, 무엇이 어떻게 벌어졌나?
해킹 경로: MFA 없는 외주 직원 계정이 뚫렸다
PowerSchool(파워스쿨)은 미국 전역에서 사용되는 학생 정보 관리 시스템입니다. 특히 노스캐롤라이나 주의 거의 모든 공립학교에서 사용되고 있었습니다.
해커는 이 시스템의 고객 지원 포털(PowerSource)에 접근할 수 있었던 한 외주 계약업체 직원의 계정을 탈취해 내부 시스템에 침투했습니다.
여기서 문제는 이 계정이 ‘MFA(다중 인증)’ 없이 사용되고 있었다는 점입니다.
MFA란 로그인 시 비밀번호 외에 문자 인증, 이메일 코드 등을 추가로 요구하는 보안 방식입니다. 최근 대부분의 기관에서는 이를 기본으로 요구하지만, 해당 계정은 단일 비밀번호만으로 로그인 가능해 매우 쉽게 해킹당할 수 있는 구조였습니다.
결국, 해커는 이 취약한 계정을 이용해 PowerSchool 시스템에 침입했고, 백엔드 서버에 저장된 방대한 데이터를 다운로드했습니다.
유출된 정보 항목은 100가지 이상
이번 공격으로 유출된 정보는 단순히 이름이나 이메일 정도가 아닙니다. 실제로 학생과 교직원의 매우 민감한 개인정보가 포함되어 있었습니다.
유출된 주요 정보 항목:
- 이름, 생년월일, 성별
- 주소, 연락처, 사진
- 학부모 이름 및 연락처
- 학교 및 학군 정보, 출결 기록
- 성적표, 징계 이력
- 인종, 특수교육 여부
- 사회보장번호(SSN)
노스캐롤라이나 교육부 공식 발표에 따르면, 약 31만 2천 명의 교사와 910명의 학생의 사회보장번호(SSN)가 유출된 것으로 밝혀졌습니다.
이처럼 개인을 특정할 수 있는 정보가 대규모로 외부에 노출되면서, 신원 도용 및 금융 사기 가능성이 매우 커진 상태입니다.
피해자에게 랜섬 요구… 그리고 ‘삭제 영상’
해커는 침투 후 며칠 뒤, PowerSchool 측에 직접 연락해 데이터 탈취 사실을 알리고 돈을 요구했습니다. 이른바 랜섬(몸값)입니다.
PowerSchool은 해커가 요구한 금액을 지불한 것으로 알려졌으며, 그 대가로 데이터를 삭제하는 영상을 제공받았다고 밝혔습니다.
하지만 보안 전문가들의 평가는 다릅니다.
“영상만으로 데이터가 실제 삭제되었는지 검증할 수 없다”고 지적하며, “이미 제3자에게 판매되었거나 복제되었을 가능성이 있다”고 경고했습니다.
즉, 영상은 일종의 상징적 제스처일 뿐이며, 피해자 입장에서는 지금도 데이터가 어딘가에서 악용되고 있을 수 있는 상황입니다.
2025년 현재 진행 중인 후속 조치
사건 발생 이후 노스캐롤라이나 주 정부와 학군, 그리고 국제 기관들도 본격적인 조사에 착수했습니다.
1. 노스캐롤라이나 법무장관의 조사 착수
- 2025년 1월, 노스캐롤라이나 주 법무장관(Jeff Jackson)은 PowerSchool의 보안 실패와 정보 보호 조치 미흡 여부에 대해 정식 조사에 돌입했습니다.
- 이번 유출이 단순한 기술적 사고가 아니라, 관리적 책임이 있는지 여부도 검토하고 있습니다.
2. 캐나다 개인정보보호위원회도 조사 착수
- PowerSchool은 미국뿐 아니라 캐나다 교육청에서도 사용되고 있는 만큼, 캐나다 연방 개인정보보호위원회도 별도의 조사에 착수했습니다.
- 이는 사건의 국제적 심각성을 보여주는 지표이기도 합니다.
3. 학군 시스템 교체 움직임 확산
- 이번 사건을 계기로, 여러 학군에서는 PowerSchool 사용을 중단하고 Infinite Campus 등의 다른 학생정보 시스템으로 교체하는 움직임이 확산되고 있습니다.
- 노스캐롤라이나 내에서는 최소 6개 이상 학군이 대체 시스템 도입을 검토 중입니다.
4. 피해자에게 신용 보호 서비스 제공
- PowerSchool은 피해자에게 Experian과 제휴해 2년간 무료 신원 보호 및 신용 모니터링 서비스를 제공하고 있습니다.
- 해당 서비스는 신분 도용 및 이상 거래 감시, 피해 발생 시 보상 지원을 포함하고 있습니다.
피해자들이 반드시 해야 할 7가지 대처법
1. Experian 신용 보호 서비스 등록하기 (무료)
왜 필요한가요?
지금 바로 악용되지 않았더라도, 정보가 어딘가에 저장되어 향후 범죄에 사용될 수 있습니다.
Experian에서 제공하는 2년간 신용 감시 서비스는 실시간 이상 징후를 탐지해줍니다.
무엇을 해야 하나요?
- 파워스쿨 또는 소속 학군에서 보낸 이메일/우편에서 등록 코드 확인
- 안내된 링크 접속 후 Experian ProtectMyID 또는 IDnotify 등록
- 본인 인증(주소, 생년월일, SSN 등) 후 계정 생성
등록이 늦으면 어떻게 되나요?
무료 서비스는 일정 기한 이후 신청이 불가할 수 있습니다. 받은 즉시 등록하는 것이 중요합니다.
2. 3대 신용기관에 ‘사기 경고(Fraud Alert)’ 설정하기
무엇을 의미하나요?
사기 경고는 신용기관이 새 계좌 개설 시 본인 여부를 추가로 확인하도록 설정하는 장치입니다.
어떻게 신청하나요?
아래 중 한 곳에만 신청하면 다른 두 곳에도 자동 적용됩니다:
- Equifax: 1-888-766-0008 / equifax.com
- Experian: 1-888-397-3742 / experian.com
- TransUnion: 1-800-680-7289 / transunion.com
필요한 정보
- 이름, 주소, 생년월일, SSN
- 본인 신분증 사본(우편 신청 시)
유효 기간
기본적으로 90일간 유지되며, 피해가 확실할 경우 7년 연장 가능
3. 자녀 이름으로 신용 리포트 확인하기
왜 자녀의 신용기록을 확인하나요?
정상적인 아동은 신용 기록이 없어야 합니다. 만약 리포트에 신용카드, 대출 기록이 있다면 도용된 것입니다.
어디서 확인하나요?
공식 사이트: AnnualCreditReport.com
- 연 1회 무료 리포트 조회 가능
- 보호자 이름으로 자녀 정보를 입력해야 하며, 때로는 우편 확인이 필요합니다.
확인 후 어떻게 하나요?
이상 내역이 있다면 바로 FTC와 경찰에 신고하고, 신용 동결(Credit Freeze)을 함께 신청해야 합니다.
4. 자녀의 신용을 ‘신용 동결(Credit Freeze)’하기
왜 동결해야 하나요?
신용 동결은 신용조회 자체를 막아 계좌 생성이나 대출 신청을 원천 차단합니다.
아동의 정보는 수년간 악용될 수 있으므로, 지금 미리 차단하는 것이 최선의 예방입니다.
어디서 신청하나요?
아래 3개 기관 각각 별도로 신청해야 합니다:
필요 서류
- 자녀 출생증명서
- 보호자 신분증
- 주소 증명(유틸리티 고지서, 은행 명세서 등)
주의 사항
동결 상태에서는 대출, 신용카드 신청 불가
필요 시 본인이 임시 해제 또는 완전 해제 가능
5. 학교 또는 학군에 보안 대응 계획 요구하기
왜 이게 중요한가요?
학군의 보안 체계가 여전히 허술하다면, 유사 사고가 또 발생할 수 있습니다. 학부모의 감시는 변화를 이끄는 힘이 됩니다.
무엇을 물어야 하나요?
- 자녀의 정보 유출 여부 확인
- 현재 PowerSchool 이용 여부 및 향후 교체 계획
- 다중 인증(MFA) 적용 여부
- 데이터 암호화, 접근 권한 관리 상태
어떻게 요청하나요?
- 학교 행정실 또는 학군 IT 부서 이메일 문의
- 학부모 회의(PTA)에서 안건으로 요청
- 교육청 민원 게시판 활용
6. 피싱 문자·이메일 차단하고 의심 시 확인하기
해커들은 어떤 방식으로 접근하나요?
학교를 사칭한 문자나 이메일로 “등록비 입금”, “성적 확인 필요” 등의 내용을 보내 클릭을 유도합니다.
확인 포인트
- 공식 이메일 주소인지 확인 (@wcpss.net 등)
- 학교 공식 앱 또는 웹사이트를 통해 동일 내용 존재 여부 확인
- 수신자가 ‘학부모님’처럼 모호할 경우 더 주의
예방 방법
- 의심스러운 링크 클릭 금지
- 신용정보, 주소, 비밀번호 등 절대 입력하지 않기
- 실제라면 학교 측에 먼저 전화로 문의
7. 피해 발생 시 즉시 공식 기관에 신고하기
어디에 신고하나요?
① FTC (연방거래위원회) → IdentityTheft.gov
② 로컬 경찰서 → 신원 도용 경찰 리포트 작성
③ SSA (사회보장국) → www.ssa.gov
무엇을 준비해야 하나요?
- 피해 증거(신용 리포트, 의심 메일, 카드 신청 기록 등)
- 본인 확인 서류
- 신고 번호, 사건 번호 기록 유지
추가 팁
은행이나 카드사에도 바로 연락해 피해 차단 요청을 하셔야 합니다. 빠른 신고가 법적 보호와 복구에 유리합니다.
결론: ‘아직 피해가 없으니 괜찮다’는 생각이 가장 위험합니다
이번 파워스쿨 해킹 사건은 단순한 정보 유출이 아닙니다. 유출된 정보 대부분은 시간이 지나도 바뀌지 않는 민감 정보이며, 이로 인해 발생할 수 있는 신분 도용, 금융 사기, 사회적 불이익은 수개월에서 수년 뒤, 때로는 수십 년 후에야 현실이 될 수 있습니다.
특히 아직 사회 경험이 없는 학생이나 자녀의 경우, 피해가 눈에 띄지 않고 조용히 진행될 수 있기 때문에 더욱 위험합니다. 예컨대 자녀가 성인이 되어 대출을 받으려는 순간, 이미 누군가가 그 이름으로 부정 사용을 한 사실을 뒤늦게 알게 되는 일이 실제로 많습니다.
하지만 지금, 바로 지금 이 시점에 취할 수 있는 조치들이 분명히 존재합니다.
무료로 제공되는 신용 모니터링 서비스 등록, 신용 동결 신청, 신용 리포트 확인 같은 조치는 큰 비용 없이도 장기적인 보안 효과를 기대할 수 있는 현실적인 방법입니다.
정보 유출은 개인의 잘못이 아닙니다. 그러나 예방은 분명히 ‘우리의 선택’입니다.
오늘 하루, 가족을 위한 작은 행동 하나가 내일의 큰 피해를 막는 안전망이 될 수 있습니다. 지금 바로 점검해보시기 바랍니다.
