16년된 홈페이지, 허술함 모른 채 개인 정보유출 방치
상태바
16년된 홈페이지, 허술함 모른 채 개인 정보유출 방치
  • 장지빈 기자
  • 승인 2017.09.10 23:38
  • 댓글 0
이 기사를 공유합니다

MyIWeb, E-Class, 수강신청 페이지 모두 취약점 확인돼 …


 나의 개인정보를 타 학우들이 검색할 수 있다는 사실을 알고 있는가? 본지 취재결과 현재 우리대학 홈페이지는 일반 학생도 특정 URL에 접근시 졸업생과 재학생의 △ MyIWeb 등재 사진 △이름 △E-mail △전화번호 △학번 등의 조회가 가능하다는 사실이 발견됐다. 우리대학의 MyIWeb 시스템 은 LG CNS와 우리대학 전산실이 공동 개발해 2002년부터 서비스되고 있다. 약 16년간 보안 구멍의 가능성이 존재했음에도 불구하고 이를 파악하고 있지 못했던 것이다. 본지는 우리대학이 홈페이지 보안에 구멍이 생겼다는 사실을 인지하고 있었는지, 또 그 구멍은 어디에서 생긴 취약점인지 알아봤다.


일반 학부생 권한으로 우리대학 구성원들의 정보 확인 가능해

▲사진은 E-Class 쪽지 기능의 회원검색 항목에서 경영정보를 검색한 결과이며 학번과 아이디를 모자이크 처리한 사진이다. 경영정보학과 졸업생, 재학 생을 포함해 교수까지 검색이 가능하다.

우리대학 E-Class 쪽지 시스템에는 일반 학부생 권한으로도 동문과 재학생들의 정보를 알 수 있는 페이지가 존재한다. 이 시스템을 이용하면 학우뿐만 아니라 교직원과 외국인 유학생들의 정보까지 알 수 있다. 졸업생의 경우 G로 구분되어 졸업 여부 역시 알 수 있다. 유명인의 경우에도 예외는 아니다. △박보검 △씨스타 보라 등 우리대학 출신 유명인의 정보 역시 검색이 가능했다. 하지만 특정 유명인은 검색이 불가능했고, 이에 정보지원팀 측에 확인해 본 결과 “특정 인물의 검색을 막지는 않았다. 확실하지는 않지만 그 인물들은 서버에 정보가 존재하지 않는 것으로 예상된다”는 답변을 받았다. 학우정보는 △아이디(학번) △학우명 △ 전공 이 중 한 가지 정보만 알고 있어도 나머지 정보를 손쉽게 알아낼 수 있다. 이를 두고 정보지원팀 측은 “큰 문제가 된다면 필터를 설정해 막을 수 있겠지만 교수님들의 요청에 의해 삭제했던 쪽지 기능을 다시 복구한 것 이다. 애초에 학내 구성원끼리 쪽지를 보낼 수 있도록 만들어진 순수한 기능이다. 본래 기능대로 동작하고 있다고 본다”는 의견을 밝혔다. 9월 8일 현재 E-Class의 쪽지 시스 템은 회원찾기 기능이 삭제되었으나 마이페이지 쪽지 시스템에서는 검색이 가능하다.


보안구멍, 어디까지 노출됐나 
위의 내용이 △이름 △학번 △학과 △학년 정도의 정보가 드러나는 데 그쳤다면 E-Class에서 발견된 보안구멍은 더욱 중요한 정보들을 노출시키고 있었다.

▲사진은 씨스타 보라(뮤지컬 09) 동문의 개인정보 가 E-Class에서 노출되고 있는 모습이다. 사진과 연 락처, 이메일 부분은 임의로 모자이크 처리한 것이다.

이 정보를 확인하는 방법은 일명 ‘컴맹’이라고 불리는 사람들도 단 10초 만에 익힐 수 있을 정도로 간단했다. 강의실 카테고리에서 나의 정보를 확인하는 페이지의 URL의 간단한 수정만으로 타인의 정보를 확인할 수 있는 것이다. 같은 방식으로 수강하지 않는 강의의 수업자료나 강의 홈페이지 게시글을 확인하는 것도 가능했다. 이에 정보지원팀 측은 “강의별 권한 설정에 따라 글을 못 읽게 할 수 있지만 타과 학생이나 타대학 학생이 강의를 듣는 경우가 있어 권한을 넓게 설정 하다보니 생긴 문제인 것 같다”며 “이 문제에 대해 고민해보겠다”는 의견을 밝혔다. 다른 학우의 개인정보를 확인하는 과정에는 검색하고자 하는 인물의 학번을 알아야 하는 번거로움이 있지만, 앞서 말한 쪽지 시스템과 같이 악용한다면 간단히 특정 인물의 개인정보를 알 수 있었다. E-Class에서 노출된 정보는 △사진 △이름 △학과 △ 학년(졸업여부) △연락처 △이메일이며 이 정보는 MyIWeb에 등재된 데이터를 기반으로 하는 것으로 확인됐다. 외국인 유학생도 사진을 제외한 모든 정보가 노출되고 있 었다. 기사 작성일(9월 5일) 현재 학교 측은 타인의 정보를 확인할 수 있는 URL을 전면 차단했고, 정보지원팀은 이를 수정 · 보완하겠다고 밝혔다. 수강신청 사이트의 경우엔 간단한 소스 확인만으로 타인의 수강신청 내역을 확인 할 수 있다. 수강신청 페이지에서 책가방 카테고리에 있는 소스를 확인해본 결과, 타인이 어떤 과목을 신청했고 어떤 과목을 미리 담기에 담아뒀는지 확인 가능했다. 정보지원팀 측은 “수강신청 페이지를 점검한 결과 오류가 있음을 확인했고 수정할 필요가 있어 보인다”는 입장을 밝혔다. 이외에도 우리대학 홈페이지는 각종 불법 프로그램의 위 · 변조 및 공격에도 취약하다는 주장하는 제보가 접수됐다. 익명을 요구한 한 학우에 따르면 우리대학 MyIWeb 의 학생카드에 접속하는 순간 트래픽을 스니핑(네트워크상의 패킷 정보를 추출해 도청하는 해킹 유형)해 다른 학생의 학생카드를 확인할 수 있다고 주장했다. 학생카드에 접속하는 순간 요구되는 학번에 "input type="hidden"이라는 해킹에 취약한 보안코드가 걸려있어 Paros라는 툴을 이용해 손쉽게 해킹할 수 있다고 밝혔다. 덧붙여 수강신청 페이지에서도 이를 이용할 수 있는 방법이 있으나 이를 악용하지는 않았다"는 말을 전했다. 이에 대해 정보지원팀 측은 “확인결과 페이지를 넘어갈 때 로그인 세션(사용자와 컴퓨터, 또는 두 대의 컴퓨터 간의 활성화된 접속) 정보를 공유하기 때문에 특정 값을 바꾸면 세션이 만료돼 타인의 학생카드를 확인할 수 없다”며 “그럼에도 불구하고 해킹 방법에는 여러 가지 방법이 있으니 우회나 어떤 행위를 통해 접속이 가능 했다면 정보지원팀에 알려주길 바란다”는 당부를 전했다.


타대학의 보안구멍 사태, 사후처리는? 
건국대학교는 2009년, 전산시스템의 개발 직후 한 학생에 의해 전산망이 통째로 해킹당하는 일이 발생했다. 이 학생은 Burp Suite라는 프로그램을 이용해 패킷을 분석하여 전산망 관리자 아이디와 패스워드를 해킹해 △학적변경 △성적변경 △졸업여부 등을 설정할 수 있는 권한을 획득했다. 입학도 하지 않은 사람을 졸업자로 등록시켜 졸업장을 발부할 수 있었고 학생들의 수강신청 결과를 임의로 조정할 수 있었다. 다행히 금방 해킹 사실이 알려져 2차 피해 없이 사 건이 마무리됐으며 보안시스템을 업데이트하고 해당 학생을 징계처분하는 것으로 마무리했다. 국민대학교는 우리대학과 비슷한 상황으로 특정 URL 접속시 △학생의 개인정보 △장학금 수혜내역 △성적 △수강신청 내역 등을 확인할 수 있었다. 이는 수년간 학생들 사이에서 퍼져왔고 뒤늦게 학교 측에서 알아채 URL을 차단하고 보안시스템을 업데이트했다. 국민대학교 홈페이지는 키보드 Shift와 마우스 좌클릭만으로도 정보가 공개된 URL을 알아낼 수 있을 정도로 보안이 허술했고 이 때문에 학생들 사이에서 암암리에 퍼져있던 것으로 예상된다. 국민대학교 측은 2013년 긴급회의를 통해 30억 원가량의 차세대 시스템을 도입하기로 결정했다.

▲사진은 문예창작학과 2학년 학생의 아이디로 로그인한 뒤 소스 확인을 통해 경영정보학과 4학년 학생의 수강신청 내역을 확인하고 있는 사진이다.


우리대학 정보보안 및 개인정보보호 수준은 ‘우수’? 
대학알리미에서 발표한 2016년 정보보안 및 개인정보보호 수준 진단에 따르면 우리 대학은 정보보안부분 ‘보통’, 개인정보부분 ‘우수’ 등급을 받으며 종합 ‘우수’ 등급을 받았다. 최지민(경정 14) 학우는 “분명히 내 개인정보가 무방비하게 노출되고 있었음에도 불구하고 우리대학이 우수한 등급을 받은 이유가 대체 뭔지 궁금하다”며 분통을 터트렸다. 이에 대해 정보지원팀 측은 “이 수치는 정해진 지표대로 산정을 하는 것이다. 우리는 관련된 자료를 제출해 평가받은 것이고, 그 지표와 일반적인 시스템에서 보안 취약점이 노출된 것은 다른 문제인 것 같다”며 “종합정보시스템이 취약한 건 맞다. 개발한지 16년이 됐고 이 기간 동안 타대학은 2번~3번 정도 업그레이드를 진행했다. 학교 상황이 어렵다보니 우리대학은 그러지 못해 아무래도 보안에 취약한 부분이 있었던 것 같다. 모든 지적에 대해 사실 확인을 하고 취약한 부분을 보완하겠다”는 입장을 밝혔다.
 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사
  • 인문캠 : 서울특별시 서대문구 거북골로 34 (명지대학교) 학생회관 2층
  • 자연캠 : 경기도 용인시 처인구 명지로 116 학생회관 2층
  • 대표전화 : 02-300-1750~1(인문캠) 031-330-6111(자연캠)
  • 팩스 : 02-300-1752
  • 청소년보호책임자 : 이승환
  • 제호 : 명대신문
  • 창간일 : 1954년 11월
  • 발행인 : 유병진
  • 편집인 : 송재일
  • 편집장 : 한지유(정외 21)
  • 디자인·인쇄 : 중앙일보M&P
  • - 명대신문의 모든 콘텐츠(영상, 기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 명대신문. All rights reserved. mail to mjupress@hanmail.net
ND소프트