성적증명서 발급 시스템 인증 절차에서 보안 제대로 적용 안돼

1995년부터 2012년까지 모든 수능 응시생 점수 열람 및 발급 가능

[보안뉴스 오병민] 대학수학능력시험 성적증명서 발급 시스템에서 보안이 제대로 적용되지 않는 등 허술한 체계로 모든 응시생들의 수학능력시험 성적정보가 유출될 우려가 있는 것으로 확인됐다.

 

▲수능성적증명서 발급시스템. 로그인 이후 보안이 제대로 적용되지 않아 정상적인 절차를 거치지 않고도 성적증명서 발급이 가능한 취약점을 가지고 있다. ⓒ보안뉴스

보안뉴스에 접수된 제보에 따르면, 한국교육과정평가원에서 운영하고 있는 대학수학능력시험 성적증명서 발급 시스템에서 초기 인증절차 이후 보안이 전혀 적용되지 않은 것으로 확인됐다. 아울러 로그인 이후 인증절차가 연결되지 않아 정상적으로 로그인하지 않고 수학능력시험 응시자 주민등록번호를 입력해 전송해도 성적증명서 발급이 가능한 것으로 확인됐다.

▲해당 취약점을 이용하면 주민등록번호만으로 해당 응시자의 수능성적증명서를 출력할 수도 있다. ⓒ보안뉴스

즉, 주민등록번호만 알면 모든 사람의 수능시험을 조회할 수 있는 취약점인 것. 특히 이 취약점을 이용하면 1995년부터 2012년까지의 모든 수학능력시험 응시생들의 성적조회 및 성적증명서 발급까지 가능한 것으로 확인됐다.

보안업계의 한 관계자는 “로그인 하는 과정에서 키보드 보안과 공인인증서 체크 등 여러 가지 ActiveX 보안 기능을 적용했지만 정식적인 보안절차를 통과하지 않아도 누구나 접속할 수 있도록 세션이 암호화 되지 않아 모두 무용지물이 되었다”면서 “게다가 인증세션 연결에서도 오류처리가 전혀 없었다는 것은 개발이 덜된 상태에서 성급히 오픈한 것 같다”고 지적했다.

또 다른 보안 전문가는 “기본적으로 로그인 후 인증을 정확하게 거친 사람만 해당 세션에 연결돼야 하는데 인증 처리가 미흡해 누구나 세션에 접근할 수 있도록 돼 있었다”면서 “아울러 성적증명서 시스템도 취약성 점검이 미흡해 누구나 성적발급이 가능하도록 열려있었다”고 설명했다.

다행히 내부 수능 DB로 접근해 수능 성적 정보를 조작하는 것은 불가능한 것으로 파악됐다. 그러나 전문가들은 이 같은 취약점이 외부 공격자에 노출될 경우 모든 수능응시자의 성적정보가 유출될 수 있기 때문에 악용될 우려가 크다고 지적했다. 따라서 한국교육과학평가원은 서둘러 해당 취약점을 개선하고 외부 유출이 되지 않도록 보안을 강화해야 한다고 강조했다.

이번 취약점의 대응방안에 대해 박나룡 보안전략연구소장은 “해당사이트의 보안을 강화하려면 웹 취약성에 대한 점검을 통해서 인증 프로세스를 다시 구성해야 할 것 같다”면서 “그리고 모니터링도 강화해서 이 방법을 통해 유출된 성적정보가 있는지도 체크해봐야 할 것 같다”고 강조했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>