10월 31일(금, 현지) 오전, 미국 펜실베이니아대학교(University of Pennsylvania, 이하 UPenn) 동문과 재학생, 교직원들에게 충격적인 이메일이 동시다발적으로 발송됐다.
메일은 대학의 교육대학원(GSE)과 고위 보직자를 사칭한 채, 욕설과 조롱이 섞인 선동적 문구를 담고 있었다. “우리는 형편없는 보안 관행을 갖고 있고, 연방 규정을 위반한다. 당신들의 데이터는 곧 유출될 것이다”라는 내용과 함께, “제발 우리에게 돈 주지 마라(Please stop giving us money)”라는 문장이 눈에 띄었다.
학교는 즉각 대응에 나섰다. UPenn 대변인은 “이번 이메일은 명백한 사기(fraudulent) 메일이며, 대학의 사고대응팀이 이미 조사를 진행 중”이라며 “매우 모욕적이고 불쾌한 내용이지만, 이는 펜실베이니아대의 가치나 행동과는 아무런 관련이 없다”고 밝혔다.
반복 발송된 ‘기부 거부’ 메일… FERPA 위반까지 언급
이번 메일은 대학 내 여러 부서의 @upenn.edu 공식 도메인을 사칭해 다수의 수신자에게 여러 차례 발송됐다. 일부 동문은 서로 다른 발신자 명의로 세 번 이상 동일한 이메일을 받았다고 전했다. 메일에는 심지어 “우리는 FERPA(학생교육기록보호법)를 어긴다”는 문구까지 포함돼 있어, 실제 해킹 여부에 대한 우려를 불러일으켰다.
다만 학교 측은 “시스템 해킹은 아니다”라는 지역 언론 보도를 통해 정보시스템 침해 가능성을 부인했다. 하지만 도메인 사칭과 발신 주소 위조가 가능했다는 점에서, 전문가들은 “발신 인증 체계(SPF·DKIM·DMARC)와 이메일 게이트웨이 보안 규칙의 점검이 시급하다”고 지적한다.
백악관 ‘대학 우수성 협약’ 거부 직후 발생
이번 공격은 UPenn이 백악관의 ‘고등교육을 위한 학문적 우수성 협약(Compact for Academic Excellence in Higher Education)’ 서명을 공식적으로 거부한 지 불과 일주일 만에 발생했다.
해당 협약은 △5년간 등록금 동결 △국제학부생 비율 15% 상한 △SAT 등 표준시험 의무화 △‘보수 아이디어 보호’ 의무화 등 정치적 색채가 짙은 조건을 내걸고, 서명 대학에 연구비와 정책적 지원을 제안한 것으로 알려졌다.
이에 대해 J. 래리 제임슨(J. Larry Jameson) 펜실베이니아대 총장은 “특정 정치적 성향의 사상만을 보호하는 일방적 조건은 민주주의와 대학의 본령에 반한다”며 서명을 단호히 거부했다. 그는 백악관에 보낸 공식 서한에서 “대학의 사명은 관점의 다양성과 자유로운 사상의 교류를 지키는 것”이라고 강조했다.
이메일 공격이 바로 이 시점에 발생했다는 점은 의미심장하다. 메일이 “기부를 멈춰라”라는 메시지를 중심에 둔 만큼, 학문적 독립을 선언한 대학에 대한 정치적 압박이 기부와 재정 채널을 겨냥한 사이버공격 형태로 확장된 것이라는 분석이 나온다.
FERPA 위반 협박이 갖는 의미
메일에서 ‘FERPA를 위반하겠다’는 문구가 등장한 것은 단순한 농담 이상의 문제다. FERPA는 학생의 교육기록을 보호하는 연방법으로, 실제 데이터 유출이 발생할 경우 교육부 조사와 제재, 그리고 집단소송까지 이어질 수 있는 중대 사안이다.
현재로서는 실제 정보 유출의 증거는 없으며, 해당 메일이 단순한 협박이거나 패러디성 조작일 가능성이 높다는 게 학교의 공식 입장이다. 그러나 전문가들은 이번 사건이 대학의 법적·보안 리스크 관리 시스템의 취약성을 드러낸 사례로 평가한다.
‘기부자 공격’의 이중 전략 — 재정·정치 심리전
이메일이 겨냥한 핵심 타깃은 ‘기부자’였다. 미국 사립대의 재정 구조에서 동문 기부금과 후원 네트워크는 생명선과도 같다. 공격자는 이 구조를 정확히 파고들었다.
첫째, 재정적 타격 유도. “기부를 멈추라”는 메시지를 반복 노출해 모금 채널을 교란시키고, 학교 운영비와 장학·연구기금 확보를 위협한다.
둘째, 정치적 심리전. 최근 미국 사회에서 ‘깨어있는(woke) 엘리트 대학’에 대한 반감이 커지고 있는 가운데, 이 프레임을 활용해 동문 사회 내 보수·진보 갈등을 자극하려는 의도도 엿보인다.
결국 이번 사건은 단순한 사이버 공격이 아니라 정치적 이미지 훼손과 재정적 압박을 결합한 복합 심리전이었다는 분석이 나온다.
대학의 대응 과제 — 보안·커뮤니케이션·거버넌스 재정비 시급
전문가들은 이번 사건을 계기로 대학들이 다음 네 가지 영역의 대책을 시급히 강화해야 한다고 지적한다.
첫째, 이메일·아이덴티티 보안 강화. DMARC 정책을 ‘Reject’ 수준으로 강화하고, 전 학과·부서 단위의 발신 인증 정책을 통일해야 한다. 또한 다중인증(MFA)과 FIDO2 키 사용을 의무화하고, OAuth 토큰 남용 탐지 체계를 갖춰야 한다.
둘째, 기부 채널의 위기 커뮤니케이션 체계 확립. 공식 모금 도메인과 서명, 단일 링크체계를 표준화해 위조 메일을 즉시 판별할 수 있게 해야 한다. 기부 중단이 실제로 미칠 재정적 피해를 투명하게 공개함으로써, 동문들의 신뢰를 되찾는 것도 중요하다.
셋째, 법무·컴플라이언스 강화. FERPA 및 각 주의 데이터보호법에 근거해 포렌식 로그를 확보하고, 사기 메일에 대한 증거보존 통지와 집단소송 대응 매뉴얼을 구축해야 한다.
넷째, 거버넌스 차원의 리스크 관리. 정치적 논쟁과 사이버공격이 결합하는 시대에 대비해, 대학 차원의 ‘리스크 레지스터’에 이러한 복합 위협을 상시 반영해야 한다.
‘사이버 액티비즘’의 시대 — 대학이 새로운 전선에 서다
이번 사건은 명백히 정치적 사이버 액티비즘의 진화된 형태였다. 목표는 단순한 데이터 탈취가 아니라, 대학의 평판·정책·재정 결정에 영향력을 미치는 것이었다.
펜실베이니아대는 백악관 협약을 거부하면서 “특정 사상만 보호하는 일방적 조건은 학문 자유의 본질을 훼손한다”고 밝힌 바 있다. 그 바로 다음 주에 발생한 이번 사건은, 학문 자유를 지키려는 선언이 사이버공격의 타깃이 되는 아이러니한 현실을 보여준다.
이제 대학은 단순히 방화벽을 세우는 것을 넘어, 디지털 주권과 학문적 자율성을 동시에 방어해야 하는 시대적 과제 앞에 서 있다.
이번 UPenn 사태는 “학문 자유를 지키는 일은 곧 사이버전의 한 형태가 되었다”는 사실을 세상에 각인시킨 경고음이다.
[저작권자ⓒ META-X. 무단전재-재배포 금지]
