몇 년째 보안문제 방치...학교에선 “우리가 할 수 있는 일 아니야”

[보안뉴스 오병민] 대한민국 학교 홈페이지들이 허술한 관리로 인해 학생이나 교사들의 데이터 유출은 물론 좀비PC를 양산하는 악성코드 경유지로 이용되고 있는 것으로 파악되고 있다. 근본적인 원인은 학교홈페이지 구축 당시 보안이 고려되지 않고 허술하게 개발된 상태에서 지금까지 그대로 방치됐기 때문으로 전문가들은 진단하고 있다.

보안뉴스에서는 지난해 12월 활동했던 악성코드 유포지를 역추적 해, 악성코드가 삽입된 사이트를 찾아본 결과, 국내 유명대학교 사이트의 웹페이지들의 감염율이 매우 높은 것으로 파악됐다. 감염된 사이트들은 H대학교와 A대학교, G대학교, K대학교, S대학교 등 국내 유명 대학교의 웹사이트들이었다.

해킹 위변조 상황을 공개하는 Zone-h.org에서도 국내 대학들의 위변조 사례는 흔히 볼 수 있다. Zone-h.org에 공개된 2010년 한 해 동안의 해킹 위변조 된 국내 대학 웹페이지는 무려 64개 이상인 것으로 파악됐다. Zone-h의 자료는 해커들이 취약점을 발견해 스스로 위변조 사례를 공개한 것이기 때문에 실제 해킹된 사이트들은 이보다 훨씬 많을 것으로 예상된다.

 

▲검색으로도 쉽게 해킹에 노출된 대학홈페이지를 쉽게 찾아볼 수 있다. ⓒ보안뉴스

보안업계의 한 관계자는 “대학교 웹사이트 안에는 동아리나 학과 홈페이지 등 수많은 웹페이지들이 있지만 이들 페이지들의 대부분은 보안에 취약한 공개게시판을 이용하고 있어 악성코드 경유지로 이용되고 있다”면서 “대부분 SQL인젝션이나 파일업로드 취약점 등 공개게시판의 취약점으로 문제가 나타나고 있다”고 말했다.

그나마 대학교는 전산실과 전산관리자들이 있기 때문에 나은 형편이다. 더욱 심각한 문제는 초·중·고등학교에서 주로 나타나고 있다. 대부분 학교들이 홈페이지와 학교관리시스템을 구축한 이후 제대로 관리가 되지 않아 보안상태가 엉망이기 때문이다. 실제로 대구지역 학교들의 경우, 보안이 고려되지 않은 상태로 개발된 C사의 학교 관리시스템이 도입돼 심각한 취약점에 노출돼 있는 것으로 파악됐다. 

학교에 도입된 C사의 학교관리시스템은 개인 계정으로 로그인 후, 비밀번호 변경 페이지에서 유저로 부터 아이디를 참조하는 문제점을 가지고 있다. 따라서 악성 공격자가 POST 값에서 아이디를 ┖admin(관리자)┖로 바꾸기만 하면 관리자 계정을 탈취할 수 있는 초보적이면서도 심각한 보안 문제점을 가지고 있다.

이 시스템을 개발한 회사 측의 관계자는 “몇 년 전부터 이 문제(보안 취약점)를 패치 한 시스템을 이미 개발해 보급하고 있지만, 그전에 보급된 학교에서는 직접 구형시스템을 최신으로 교체해야 취약점을 해결할 수 있다”라고 말하면서 “(구형시스템이 도입된) 대부분 학교들이 최신으로 교체하지 않고 그냥 쓰고 있는 것으로 알고 있다”고 말했다.

이처럼 학교사이트들의 보안관리가 허술한 이유는, 학교에서는 보안을 따로 책임지는 사람이 없기 때문이다. 대부분 학교에서는 전문지식이 부족한 교사들이 사이트들을 관리하고 있다. 아울러 학교에서는 보안에 투자할만한 여력도 없는 상황이다.

보안 문제가 지적된 학교의 한 교사는 “학교에서 그냥 조금 컴퓨터를 아는 사람한테 (홈페이지와 시스템) 관리를 맡기고 있다”면서 “컴퓨터를 잘 알고 보안을 잘 알더라도 학교 재정상 새로운 시스템을 도입하는 것은 거의 불가능한 상황”이라고 밝혔다.

이에 대해 보안업계의 한 전문가는 “모니터링을 하다보면 많은 학교가 해킹에 노출돼 있는 가운데 대부분은 몇 년이 지나도 문제점이 고쳐지지 않고 있어, 학생들이나 교사들의 개인정보 노출이나 악성코드 감염 위험이 따르고 있다”면서 “이런 문제의 심각성으로 볼 때 학교단위에서 해결하기 보다는 정부와 교육계에서 나서야할 것으로 보인다”고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>