수업이 끝난 후 이뤄지는 교육제도 ‘방과후학교’에서 이용되는 방과후학교 관리 프로그램이 기초적인 보안조치도 되지 않고 있어 개인정보 유출이나 성적조작 등 심각한 문제를 일으킬 가능성이 제기되고 있다.

방과후학교는 수업이 끝난 후 부족한 부분을 보강하거나 접하지 못한 다양한 분야를 경험하기 위한 교육 목표로 2006년부터 시행된 제도이다. 그러나 최근 들어서는 사교육비 절감을 위한 보충수업 개념으로 이용하는 학교가 늘고 있다.

문제는 2006년 도입당시에 이용된 방과후학교 관리프로그램이 ‘파일 다운로드 취약점’과 같은 기초적인 취약점에도 조치가 되지 않고 있다는 것.

이 취약점은, 게시판 등에 저장된 자료에 대해 ‘다운로드 스크립트’를 이용해 다운로드 기능을 제공하면서, 대상 자료파일의 위치 지정에 제한조건을 부여하지 않았을 경우 나타난다.  이 경우, URL칸의 다운로드 스크립트의 인수값에 ‘../’ 문자열 등을 입력해 시스템 디렉토리 등에 있는 비공개 자료들이 유출될 수 있다.

보안뉴스에서 확인한 바에 따르면, 현재 우리나라 고등학교 200여 곳에 방과후학교 관리 프로그램을 납품한 I사의 제품에서 이런 취약점을 가지고 있는 것을 확인했다. 특히 이 제품의 경우, 소스코드를 다운받을 수 있는 것으로 알려져 충격을 주고 있다. 이 프로그램을 도입한 학교의 경우, 방과후학교 프로그램의 패스워드 및 학생리스트 등의 노출 가능성뿐만 아니라 심각한 경우에는 성적 조작도 가능하기  때문이다.

해당 프로그램을 개발은 I사의 한 관계자는 “아마도 오래전에 개발된 프로그램에서 문제가 있는 것 같다”면서 “이 프로그램은 학교 자체서버에서 관리하고 있기 때문에 조치를 할 수 없다”고 해명했다.

문제는 이 취약점을 파악하고 해결할 수 있는 역량이 학교에는 없다는 점. 대부분의 학교에서 IT시스템관리는 컴퓨터에 관심이 있는 교사에 의해 이뤄지고 있다. 따라서 보안이나 IT전문가에 의한 관리가 진행되지 않는 대부분의 학교에서는 이런 문제점이 있더라도 파악할 수 없는 상황이다.

보안업계 한 관계자는 “이런 취약점은 보안 기초 지식에 지나지 않아 전문가라면 누구나 알 수 있는 기본이지만 전문적인 시스템관리자가 없는 학교의 경우에는 기초적인 보안 조치도 되지 않을 수 있다”면서 “일부 학교에서는 아웃소싱을 통해 관리하는 경우도 있지만 대부분은 도입 당시 그대로 방치해 이용하는 경우가 많다”고 우려를 나타냈다.

I사의 방과후학교 관리 프로그램 취약점은 이 프로그램을 이용하고 있는 학교의 한 학생의 제보에 의해 알려졌으나, 해당 개발업체는 이에 대한 내용을 묵살한 것으로 알려졌다. 제보자는 “이런 내용을 제보하자 개발업체에서는 학교를 통해 항의하라며 욕설과 함께 화를 내, 마음에 큰 상처를 입었다”면서 “보안 문제점을 제보해도 오히려 화를 내는 국내 보안현실이 너무 안타깝다”고 토로 했다.

학교와 같은 공공 교육기관에서 보안 문제는 이뿐만이 아니다. 특히 방과후학교와 같은 학교 개별적으로 진행하는 사업에 대해서는 IT시스템에 대한 보안 관리가 제대로 되지 않고 있는 상황.

보안업계 한 관계자는 “현재 우리나라에서 가장 보안 취약점을 많이 노출하고 있는 분야는 교육분야 일 것”이라면서 “문제는 IT시스템 보안에 대해서는 관할 교육청이나 교육과학기술부에서도 관련 전문가가 부족하기 때문에 이런 사소한 보안 문제에도 제대로 대응하지 못하고 있는 실정”이라고 비난했다.

한편, 2005년에 국가사이버안전센터에서 발간한 ┖홈페이지 보안관리 메뉴얼┖에 따르면, 이 취약점을 보완하기 위해 다운받기 위한 파일 이름에“..”, “/”, “\”와 같은 문자열을 모두 필터링하기 위해 스크립트 코드 수정하라고 조언한다. 그리고 취약점 점검 시에 파일 다운에 성공했던 그 URL을 똑같이 입력하였을 때 파일 다운이 안되는 것을 확인해야한다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>