인력ㆍ재정 지원 · 윤리의식 제고 필요…개발업체 책임도 엄정히 추궁해야
이번 사건의 피의자 이 모 군은 사회과학계열을 전공하고 취미삼아 컴퓨터 프로그램 관련 기술에 관심을 가진 아마추어 해커인 것으로 드러났다. 언론과의 인터뷰에서 이 군은 “처음에는 호기심으로 해킹을 시도해본 것이었는데, 의외로 단순한 패킷 프로그램만으로도 보안시스템이 뚫리는 것을 보고 범행을 저지르게 됐다”며 “학교 전산망이 이렇게 허술할 지 몰랐다”고 말했다.
이 군은 또, “관리자 권한을 획득해 학교서버에 들어가보니 교수와 직원의 임용과 급여, 학점관리, 학생들의 신상정보 등 학교의 거의 모든 정보를 다 볼 수 있었고, 조작도 가능해 보였다”고 말하고 “심지어 입학하지 않은 사람을 입학시켜 졸업까지 가능하게 위조할 수 있어 보였다”고 말해 충격을 더해주고 있다.
아마추어 해커도 뚫은 보안시스템
해킹을 통해 학점을 조작한 사건이 발생했다는 보도를 접한 학내 구성원들은 충격적이라는 반응이다. 한재우(법1)군은 “이번 사태는 전산망의 보안관리가 얼마나 소홀(疏忽)한지를 보여주는 대표적인 사례”라며 “어떻게 보안관리를 하고 있길래 이런 사건이 발생했는지 이해할 수 없다”는 반응을 보였다. 문과대의 A교수도 “지금까지 학교가 80억원이 넘는 돈을 들여 수 년간에 걸쳐 추진한 전산망 개선작업이 무엇이었는지 궁금하다”며 “사업추진에 문제는 없었는지를 확인해봐야 할 것”이라고 지적했다.
전산망 교체과정에서 생긴 허점
이번 사건에서 피의자 이 군이 사용한 수법은 버프슈트(Burp suite)란 패킷 감시 프로그램을 이용한 초보적인 해킹 방식이었다. 버프슈트 프로그램은 서버내의 프로토콜을 스캐닝 해 관리자 ID와 비밀번호를 찾아내 관리자 권한을 획득하는 수법으로 보안설정이 허술한 서버에서 사용되는 해킹기법인 것으로 알려졌다.
정보관리실 관계자들은 “이번 해킹방식을 예상하지 못했다”며 보안시스템의 허점이 있음을 시인했다. 정보관리실 이국환 팀장은 “피의자를 잡은 후 실시한 현장검증에서 범인이 사용한 해킹방식을 알고 허탈했다”고 말해 얼마나 보안이 취약했는지를 자인했다. 이번 사건을 담당한 서울지방 경찰청 사이버수사대의 한 관계자는 “이번 해킹은 해킹전문가들이 볼 때 매우 초보적인 수준의 방법”이라며 “이런 공격을 예상치 못했다면 보안시스템에 심각한 문제가 있는 것”이라고 지적했다. 보안전문가 A씨도 “언론에 보도된 자료 등으로 파악할 때, 학내 및 외부 공개 시스템들의 보안 상태를 따지면 매우취약, 취약, 미흡, 보통, 안전 중 ‘취약’으로 볼 수 있다”며 “학교측의 적절한 보안시스템 마련이 필요하다”고 지적했다.
피의자 이 모군은 이번 해킹을 통해 학생 성적부터 주민등록번호 등의 개인정보와 교수임용 정보 등 중요 정보를 모두 열람할 수 있었다고 한다. 즉 만약 해커들이 단순히 학점 조작등 개인의 이해관계에만 국한시키지 않고 개인정보나 학적, 교수임용, 행정예산 등의 정보를 이용해 추가적인 범행을 계획했다면 사태는 훨씬 심각하게 전개됐을 수도 있다는 지적이다.
정보관리실은 이에 대해 “이번 해킹은 서버가 아닌 uDRIMS라는 웹 프로그램 하나에 대한 해킹만 성공한 것”이라며 “현재 대부분의 시스템 개발은 완료됐지만 수요조사에서 나온 개선해야 할 사항 및 추가사항에 대한 마무리 작업이 진행 중”이라며 후속대책마련에 분주한 모습이다.
보안 책임둘러싸고 대우와 논란
한편 이번 사건과 관련해 학내 일각에서는 우리대학 전산망 사업을 수주해 프로젝트를 진행해온 대우정보시스템에 대해 책임을 물어야 한다는 지적도 나오고 있다.
정보관리실 관계자는 “해킹사건이 발생한 지난 2월은 한창 시스템 개발이 이뤄지고 테스트가 이뤄지던 시기였다”며 “보안시스템을 비롯한 전산망 운영 책임이 넘어온 것은 4월이후이기 때문에 해킹 보안과 관련된 실질적인 책임은 보안시스템을 개발하고 테스트했던 대우정보시스템에 있다”고 강조했다.
이에 대해 대우정보시스템의 대학ERP의 한 관계자는 “시스템 개발은 대우정보시스템에서 담당하지만 새로운 프로그램 추가 등 보수 및 관리는 대학 책임”이라고 밝히고 자신들의 책임이 아니라고 책임을 회피하고 있다.
그러나 전문가들은 우리대학의 정보시스템의 개발이 아직 완료된 상태도 아닌데다, 지난 2월의 경우 정보관리실의 주장처럼 운영책임도 완전히 대학으로 넘어온 상태도 아니어서 대우정보시스템의 보안시스템 설계나 운영지침상의 허점이 있는 것으로 보고 있다. 특히 우리대학이 아직 대우정보시스템에 지급해야할 사업비가 13억원 가량 남아 있기 때문에 책임소재 문제는 확실히 가려내야 한다는 지적이다.
보안전문가 A씨는 “이번 해킹에 노출된 uDRIMS와 같은 웹을 이용한 어플리케이션은 일반인들에게도 쉽게 공개되기 때문에 해커의 공격에 상당히 취약하다”며 “해커가 홈페이지를 스캐닝 해, 작업 중인 페이지를 찾고 취약점을 파악(把握)하면 얼마든지 이번 사태가 다시 일어날 수 있다”고 밝혔다.
즉 보안시스템의 설계도 중요하지만, 보안시스템을 늘 정비하고 네트워크 상태와 서버상태를 모니터링 하는 상시적인 관리점검 시스템이 중요하다는 지적이다.
보안시스템 무엇부터 손봐야하나?
정보관리실은 현재 교과부와 공동으로 전산망 보안대책을 협의하고 있는 것으로 알려졌다. 우리대학 전산망 사업을 시행한 대우정보시스템이 우리대학뿐만 아니라 다른 대학 시스템도 구축해왔기 때문이다.
즉 유사한 사례가 발생하지 않도록 대학간의 정보공유를 통해 해킹문제에 대해 공동대응하겠다는 것이다.
정보관리실은 이를 위해 내년부터 전문 보안 업체의 분기별 모의해킹테스트를 통하여 취약점 분석과 개선을 위해 노력할 계획이라고 밝혔다.
김양우 정보관리실장은 “사건 발생직후 전문가들과의 협의를 통해 정부가 권고하고 있는 보안대책 중 가장 강력한 수준인 세션 관리 개선, PKI(Public Key Infrastructure)인증서 도입, 중요데이터에 대한 암호화 등의 보안작업이 이뤄지고 있으며 완료가 되면 상당한 수준의 보안시스템이 구축될 것”이라고 강조했다.
PKI인증서는 온라인 거래 등에 사용되는 공인인증서와 같은 상호 인증 시스템 중 하나로 교직원들이나 교수들의 로그인 시 적용될 계획이다.
PKI인증서가 도입되면 로그인을 할 때 인증서가 필요하며 로그인을 하기위해서는 ID와 비밀번호뿐만 아니라 인증서도 있어야 하기 때문에 권한획득이 어려워진다. 즉 이중 삼중의 보안검증을 통해 온라인을 통한 정보가로채기를 원천적으로 근절하겠다는 것이다.
또 8월부터 가동 중인 감사시스템을 통해 중요데이터에 대해 누가 언제 어디서 접속했는지를 주기적으로 기록하게끔 함으로서 추후 문제가 생겼을 경우 문제의 원인을 쉽게 찾을 수 있도록 했다.
그리고 이번 사건처럼 성적과 같은 중요데이터 변경 시 경고가 뜨도록 해 관리자가 상시적으로 점검할 수 있도록 하는 등 보안을 강화하고 있다.
정보보안-윤리교육도 필요
이번 사태는 단순히 시스템적 결함(缺陷)과 관리 소홀만의 문제가 아니다. 이번 사태 발생에 학생들의 윤리(倫理)의식 문제 또한 큰 것으로 나타났다. 자신의 성적을 높이기 위해 공공의 자산을 함부로 조작한다는 것은 윤리의식을 떠나 엄청난 범죄이기 때문이다.
이때문에 학생과 교수, 직원들에 대해 정보보안과 관련된 교육도 시급한 것으로 지적된다. 또, 전문인력을 보강하고 보안과 관련된 예산과 장비증설도 시급하다는 지적이다. 피의자들을 엄중(嚴重)히 처벌해 다시는 이와 같은 일이 발생하지 않도록 본보기로 삼아야 하고, 관련 학칙을 제정해 재발방지를 위한 노력을 기울여야 한다.
오세진 기자
viva5@dongguk.edu