[보안뉴스 오병민] 서울지방경찰청 사이버범죄수사대는 2010년 5월 16일 서울 모 사립초등학교 홈페이지를 장난삼아 해킹해 음란물을 게시하고 3,000여명의 학교 회원 정보를 삭제하는 등 훼손한 모 커뮤니티 사이트 회원 A모군(19세, 무직) 등 19명을 검거해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 위반 혐의로 불구속 입건하였다.

A모군 등은 지난 5월 ‘스승의 날’ 다음날인 16일 새벽 3시경, 학교 측의 부주의로 인터넷 검색에 의해 외부에 노출된 암호화되지 않은 관리자 아이디와 비밀번호가 자신들의 커뮤니티 게시판에 공개되자 이를 이용하여 학교 홈페이지에 접속하였고, 학교의 게시 글과 사진을 음란물과 욕설로 무단 변경하고 3,000여명의 회원정보를 삭제하는 등 1주일 동안 학교 홈페이지의 정상 기능을 마비시킨 것으로 밝혀졌다.

한편, 경찰은 서울지역 초등학교 홈페이지의 상당수가 교육 당국으로 부터 ‘검색엔진 배제표준(Robot Exclusion Standard)’을 적용하라는 권고에도 불구하고, 이를 제대로 이행하지 않아 인터넷 검색엔진에 의해 손쉽게 중요 정보가 외부에 유출되는 잠재적인 위험에 노출되어 있어 보완책 마련이 시급하다고 밝혔다.

이번 사건의 특징은, 청소년들이 죄의식 없이 사회적인 영향을 크게 받을 수 있는 초등학생들에게  무분별하게 피해를 입혔다는 점이다. 이 사건에서 10~20대 커뮤니티 회원들은 초등학교 홈페이지를 무차별 해킹해, 음란물을 게시하고 회원정보를 삭제하는 등 홈페이지 기능 마비시켰다.

그리고 초등학생들이 매일 1천5백~2천명이 접속해 학년별 과제물 제출 및 일기장 점검, 알림장 기능을 하는 초등학교 홈페이지를 아무런 죄의식 없이 무차별적으로 훼손했다. 그리고 학부모와 초등학생들도 이용하는 홈페이지의 공지 팝업창과 사진을 음란 동영상과 사진으로 바꾸고, 게시 글은 온갖 욕설로 무단 변경하였으며, 3,000명의 회원정보를 삭제해 1주일간 학교 홈페이지의 정상기능을 마비시켰다.

그러나 이 같은 사고는 비용부담을 이유로 평소 홈페이지 보안 관리를 게을리한 학교 측도 책임을 회피할 수 없게 됐다. 학교 측은 비용 부담을 이유로 교육당국의 보안취약점 대응 권고를 제대로 이행하지 않고 비전문가에 의해 형식적으로 홈페이지 관리시켰기 때문이다.

이번 사건은 인터넷 검색에 의해 암호화되지 않은 홈페이지 관리자 아이디와 비밀번호가 그대로 외부에 노출돼 피해 발생한 것으로 나타났다. 따라서 공공기관의 ‘검색엔진 배제 표준’ 적용을 의무화하여 검색 로봇에 의한 중요정보 외부 노출이 차단될 수 있도록 하는 방안이 필요해 보인다.

서울지역 초등학교 홈페이지의 상당수가 ‘검색엔진 배제표준’을 적용하지 않아 잠재적인 위험에 노출돼 있는 것으로 파악되기 때문이다. 검색엔진 배제표준이란, 검색 엔진 로봇이 정보 수집을 위해 사이트에 접근할 경우 웹사이트의 디렉토리와 파일 등에 대한 검색조건을 명시해 놓은 국제규약이다.

전문가들은 학교 등 공공기관 홈페이지의 경우, ‘검색엔진 배제표준’ 적용 의무화 및 비밀번호를 암호화하는 등 기술적·관리적 보호조치를 강화할 필요가 있다고 역설한다.

한편, 경찰은 G20정상회담을 앞두고 학교 등 공공기관의 홈페이지 보안 취약점을 이용해 악의적으로 공공기관의 전산망에 침입해 다른 해킹 범죄의 중간 경유지로 악용하거나 고의적으로 홈페이지 정보를 훼손하는 불법 행위에 대해 지속적으로 단속하여 적극적으로 형사 입건해 나갈 방침이다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>